Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, Ochrona danych osobowych. Komentarz, wyd. IV
Ochrona danych osobowych. Komentarz, wyd. IV
Od autorów
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wprowadziła uregulowania dotychczas całkowicie nieznane polskiemu systemowi prawnemu. Ta okoliczność oraz fakt, że mamy tu do czynienia ze skomplikowaną materią prawną, spowodowały, iż od samego początku stosowanie wspomnianej ustawy wywoływało, i nadal wywołuje, wiele problemów oraz wątpliwości. Z tych samych powodów raczej skromny jest na razie na tym polu dorobek polskiej doktryny.
Taki stan rzeczy skłonił nas do podjęcia próby napisania komentarza do ustawy o ochronie danych osobowych. Przygotowując go korzystaliśmy z zagranicznego piśmiennictwa dotyczącego podobnych aktów prawnych, a także z literatury i komentarzy do dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych, która to dyrektywa wywarła niewątpliwie znaczący wpływ na ostateczny efekt prac legislacyjnych w naszym kraju. Staraliśmy się również, w możliwie jak najszerszym zakresie, uwzględnić wyjaśnienia i opinie formułowane przez Generalnego Inspektora Ochrony Danych Osobowych, a także poglądy prezentowane w rodzimych publikacjach naukowych.
Postanowiliśmy przy tym wyjść poza typowe dla komentarzy założenia, sprowadzające się do analizowania poszczególnych przepisów ustawy. Uznaliśmy za celowe dodanie wstępu, który by prezentował ustawę z 1997 r. na tle całego systemu prawnego, mówił o jej założeniach, o niektórych generalnych problemach związanych z ochroną danych osobowych, a jednocześnie konfrontował przyjęte w Polsce rozwiązania prawne z innymi (międzynarodowymi, unijnymi) regulacjami.
Kończąc, chcielibyśmy złożyć podziękowanie Generalnemu Inspektorowi Ochrony Danych Osobowych - Pani Minister E. Kuleszy za wyrażenie zgody na wykorzystanie w niniejszej publikacji dokumentów zamieszczonych w internecie na "jej stronie". Wyrażamy także wdzięczność Panu dr. Włodzimierzowi Wróblowi za konsultację w kwestii skomentowania zamieszczonych w ustawie przepisów karnych.
Podziękowania chcielibyśmy złożyć również Pani Redaktor Katarzynie Rybczyńskiej za pracę włożoną w opracowanie tej książki.
Chcemy też zaznaczyć, iż badania, które zaowocowały napisaniem niniejszego komentarza, prowadzone były w ramach realizacji finansowanego przez Komitet Badań Naukowych projektu badawczego pt. "Ochrona baz danych osobowych".
W trzecim wydaniu uwzględniliśmy przede wszystkim nowelizację ustawy o ochronie danych osobowych z dnia 22 stycznia 2004 r. (Dz. U. Nr 33, poz. 285) oraz nowe rozporządzenia wykonawcze do ustawy.
Niniejsze - czwarte już - wydanie komentarza zostało zaktualizowane w zakresie odpowiadającym zmianom stanu prawnego oraz uzupełnione w obszarze stale powiększającego się dorobku doktryny i orzecznictwa. Staraliśmy się również poszerzyć uwagi odnoszące się do problematyki, która sprawia najwięcej problemów w praktyce stosowania ustawy. Dotyczy to w szczególności obowiązków związanych z zabezpieczeniem i dokumentacją przetwarzania danych. Z uwagi na wzrost zainteresowania problematyką przekazywania danych do państw trzecich przedstawiliśmy także tzw. standardowe klauzule umowne. Przy analizie zagadnień związanych z rejestracją zbiorów danych, uwzględniliśmy również nowe możliwości, jakie stwarza w tym zakresie elektroniczna platforma komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych.
Kraków-Lublin, wrzesień 2006 r.
Janusz Barta
Paweł Fajgielski
Ryszard Markiewicz
CZĘŚĆ PIERWSZA. Wstęp
A.Wprowadzenie
1.
Regulacje prawne dotyczące tworzenia i wykorzystywania zbiorów danych osobowych stały się w latach 70. przedmiotem zainteresowania prawników, a także ustawodawców. Pojawiać się zaczęły ustawy "wycinkowe", fragmentaryczne (jak np. w USA Fair Credit Reporting Act - dotyczący posługiwania się informacjami udzielanymi w celu uzyskania kredytu), a także uregulowania kompleksowe (jak pierwsza ustawa o ochronie danych osobowych ogłoszona w Hesji w 1970 r., wyprzedzająca o 7 lat niemiecką ustawę federalną ). W tej samej jeszcze dekadzie wydano w Europie dalsze akty prawne zajmujące się ochroną danych osobowych w Szwecji, Danii, Norwegii, Francji i Luksemburgu, zaś w latach 80. i z początkiem lat 90. w Austrii, Islandii, Irlandii, Finlandii, Wielkiej Brytanii, na Węgrzech.
Wspomniane zainteresowanie i przedsięwzięcia legislacyjne mają zróżnicowane podłoże.
Od dłuższego czasu można było zaobserwować poszerzanie się zakresu zbierania, przez rozmaite instytucje publiczne i prywatne, informacji na temat obywateli i innych podmiotów życia społecznego. Coraz szerszych upoważnień do zbierania i przechowywania informacji nie równoważyły przedsięwzięcia prawne pozwalające zainteresowanym w pewnym stopniu procesy te kontrolować. Postanowiono wprowadzić odpowiednie regulacje, uznając iż stają się niezbędne dla społeczeństwa pragnącego się rozwijać w sposób wolny od krępującej opieki państwa . Dostrzeżono też, iż brak możliwości sprawowania przez jednostkę kontroli nad obiegiem oraz samą treścią informacji na jej temat ogranicza szanse co do samookreślenia, informacyjnej autoprezentacji (self-determination, informationelle Selbsbestimmung), godzi w "prawo do wizerunku własnego życia" i zniechęca do aktywnego udziału w życiu społecznym .
Odrębnym problemem jest to, że - jak czasem się twierdzi - można i należy liczyć się z ujemnymi konsekwencjami, także w sferze życia politycznego, wynikającymi na przykład ze wzmocnienia pozycji organów dysponujących rozbudowanymi bankami danych osobowych czy z ograniczeniami aktywności politycznej obywateli przez świadomość, że informacje na temat ich samych oraz ich działalności są gromadzone i mogą być wykorzystywane dla trudnych do przewidzenia celów.
Podstawowej przyczyny zainteresowania regulacją prawną przetwarzania danych osobowych upatrywać należy przy tym w zastępowaniu tradycyjnych, "manualnych" metod gromadzenia i utrwalania informacji o osobach nowoczesnymi, skomputeryzowanymi systemami zapisywania, przetwarzania i udostępniania tego rodzaju danych. Przy tak zorganizowanych i funkcjonujących bazach danych osobowych wzrasta niepomiernie - jak zauważono - ryzyko naruszenia słusznych interesów osób, na temat których gromadzone są różnorakie informacje. Bierze się to m.in. z niespotykanych wcześniej możliwości koncentracji, a także kojarzenia danych znajdujących się w rozmaitych, rozproszonych, rozbudowanych i przewidzianych dla odmiennych celów zbiorach. Same środki techniczne (jak choćby kryptografia) nie mogą przy tym zastąpić odpowiednich rozwiązań prawnych.
Jak zauważono w toku sejmowych dyskusji nad komentowaną polską ustawą: "Wystarczy mieć trochę wyobraźni i zastanowić się, jak wyglądałoby połączenie danych np. z zakładu telekomunikacyjnego (spis połączeń telefonicznych), ewidencji gruntów (własność nieruchomości), rejestru pojazdów, wypożyczalni książek lub kaset wideo (chodzi o zainteresowania), zakładu energetycznego (zużycie prądu), firmy sprzedaży wysyłkowej (preferencje konsumenckie), poczty (prenumerata czasopism). Uzyskany w ten sposób obraz mógł stanowić realne zagrożenie prywatności" (wypowiedź posła M. Lewandowskiego).
Trudno nie dostrzec, że pozostawienie skomputeryzowanych baz danych zawierających dane o osobach poza prawną reglamentacją może sprzyjać niedozwolonemu ingerowaniu w szeroko rozumianą wolność osobistą jednostki i jej prywatność, może pozbawiać osoby możliwości dysponowania informacjami na swój temat, decydowania o "własnym wizerunku" prezentowanym innym osobom lub instytucjom; podkreśla się, iż w obliczu obecnej techniki informatycznej obywatele stają się coraz bardziej "przejrzyści" (przezroczyści).
Inną okolicznością, na którą należy zwrócić uwagę, jest coraz większa ilość przedsięwzięć i kontaktów społecznych, ekonomicznych, handlowych oraz prawnych dokonywanych poprzez sieci komputerowe, w tym w pierwszym rzędzie poprzez internet. Sytuacja ta, obok wielu zalet, otwiera możliwości "obserwowania" i analizowania zachowań poszczególnych osób czy firm. Istnieje ścisły związek między rozwojem usług i rynków telekomunikacyjnych a potrzebą ochrony danych osobowych.
Poszerzony został także dostęp do licznych zbiorów informacji. Sama informacja uzyskała przy tym charakter towaru o dużej, stale zwiększającej się wartości ekonomicznej .
Wreszcie mówiąc o wykształcaniu się idei oraz rozwiniętych uregulowań służących ochronie danych osobowych nie można pominąć znaczenia i oddziaływania europejskiej konwencji o ochronie praw człowieka i podstawowych wolności. W dużej mierze także za jej sprawą wzrosła ranga ochrony praw osobistych, w tym też prawa do prywatności, z którymi ochrona danych osobowych pozostaje w ścisłym powiązaniu.
Podsumowując te wstępne spostrzeżenia można przyłączyć się do wyznających pogląd, iż przepisy poświęcone ochronie danych osobowych służą w pierwszym rzędzie realizacji dwóch podstawowych funkcji. Z jednej strony mają być instrumentem niezbędnym dla poszanowania podstawowych, uznanych powszechnie praw i wolności, zwłaszcza prawa do prywatności, z drugiej strony ich zadaniem jest ochrona interesów użytkowników najnowszej technologii informatycznej i internetu, w tym różnych instytucji publicznych, zapewnienie niezbędnego do ich działań zaufania i bezpieczeństwa.
2.
Trzeba zaznaczyć, iż wprowadzaniu ogólnych regulacji poświęconych ochronie danych osobowych towarzyszą też pewne obawy . Nierzadko postrzega się ją jako źródło utrudnień zarówno w sferze prowadzenia działalności gospodarczej, jak i działalności naukowej. Stawiane jest pytanie: czy skądinąd słuszna idea ochrony interesów jednostki związanych z wykorzystywaniem jej danych osobowych nie prowadzi do ustanowienia restryktywnego zakazu dla niereglamentowanego zbierania i wykorzystywania informacji (informacji o osobach), czy nie niesie z sobą zagrożeń dla wolności obywatelskich w ogóle; zderzenie z innymi zasługującymi na ochronę wartościami zaznacza się w sposób najbardziej wyraźny, gdy chodzi o przyznane obywatelom prawo do informacji , o wolności gospodarcze , wolność nauki , swobodę komunikowania się czy szeroko rozumianą wolność prasy .
Nieco inne obawy, związane z wdrażaniem reguł prawnych ochrony danych osobowych, wyrażane są w kontekście funkcjonowania administracji publicznej. Wskazuje się niekiedy, iż zbyt rygorystyczne przepisy w tym zakresie prowadzić mogą do znacznego utrudnienia działań organów administracji, co może pociągnąć za sobą również niekorzystne skutki dla obywateli.
Wypowiedzi tego rodzaju, nacechowane ostrożnością i dostrzegające pewne niebezpieczeństwa, pojawiły się także w toku prac nad obowiązującą polską ustawą o ochronie danych osobowych (poseł A. Smółko), zwłaszcza w kontekście wyznaczenia bardzo rozległych granic jej stosowania, a to poprzez przyjęcie szerokiego rozumienia takich pojęć, jak "dane osobowe", "przetwarzanie danych", "zbiór danych" i uznania, że regulacją objęte są także tradycyjne (manualne) zbiory danych.
3.
Prawne zagadnienia funkcjonowania wspomnianych banków danych osobowych można rozważać na czterech płaszczyznach.
Pierwsza dotyczy zbierania danych. Występują tu m.in. takie problemy, jak:
poufność danych,
zgoda zainteresowanego (osoby, której dane dotyczą) na wykorzystywanie danych,
jawność funkcjonowania banków danych, świadomość ich istnienia po stronie zainteresowanych,
świadomość po stronie zainteresowanych celu (przeznaczenia), dla którego dane są gromadzone.
Druga płaszczyzna problemów odnosi się do samych banków danych osobowych; chodzi tu m.in. o:
poufność systemów,
dostęp do banków danych.
Trzecią grupę tworzą zagadnienia związane z korzystaniem z danych. Zwraca się uwagę na takie kwestie, jak:
błędność i niedokładność danych,
relewantność danych ze względu na cel ich wykorzystania,
subiektywność danych,
utrzymywanie i posługiwanie się starymi danymi,
zgoda osoby, której dane dotyczą, na ich używanie,
świadomość osoby co do użytku czynionego z danych.
Wreszcie wyodrębnia się kwestie związane z przekazywaniem i przepływem danych, takie jak:
"sprzęganie" danych z różnych banków danych,
centralizacja lub łączenie banków danych,
międzynarodowy przepływ danych.
4.
Bez obawy popełnienia błędu można przyjąć, że potrzeba uzupełnienia systemu prawnego nowoczesnego i demokratycznego państwa o regulację tworzącą prawne ramy tworzenia i posługiwania się bankami danych, zwłaszcza danych o osobach, jest dziś właściwie powszechnie akceptowana. Wysiłki skierowane są już raczej na doskonalenie tej regulacji, na jej harmonizację i ujednolicanie oraz na tworzenie systemu ochrony międzynarodowej, konwencyjnej. W sferze dyskusji pozostawać natomiast mogą założenia, na których oparte mają być te rozwiązania prawne. Oscylują one bądź w kierunku "modelu własnościowego", gdzie każdą osobę należałoby traktować jak właściciela dotyczących jej danych, bądź w kierunku patrzenia na całość problematyki poprzez pryzmat ochrony praw osobistych jednostki, jej prywatności czy godności. Możliwe do przyjęcia jest - zaznaczmy - jeszcze trzecie podejście, a mianowicie przyjęcie, iż wolą ustawodawcy było uczynienie z danych osobowych przedmiotu tajemnicy .
Równocześnie wprowadzana ochrona traktuje osobę, której dane dotyczą, jako podmiot słabszy i mniej doświadczony, a przez to wymagający specjalnej ochrony w konglomeracie różnych relacji i stosunków prawnych, w jakich się znajduje.
5.
Podstawowe konstrukcje ustaw, mających na celu wprowadzenie powszechnej, kompleksowej regulacji odnoszącej się do ochrony danych osobowych, oscylują między dwoma modelami. Pierwszy z nich, który można określić mianem modelu licencyjnego, zakładanie banków danych uzależnia od zezwolenia specjalnego, w tym celu powołanego organu państwowego, który określa także warunki prowadzenia działalności przez taki bank. Wyposażony jest on przy tym w uprawnienia kontrolne i pewne kompetencje do rozstrzygania sporów. Fundamentem modelu drugiego jest przyjęcie istnienia swego rodzaju podmiotowego prawa do dysponowania danymi o własnej osobie, które może być ograniczone w przypadkach wyraźnie przez ustawodawcę wskazanych . W modelu tym nie tyle decyzje urzędu państwowego, co przepisy określają, kto, na jakich warunkach i w jaki sposób może przetwarzać dane osobowe, stąd model ten określa się niekiedy jako tzw. model materialno-prawny. Konsekwencją takiego podejścia jest stanowisko, że zbieranie oraz wykorzystywanie (w tym udostępnianie) danych jest dopuszczalne tylko w przypadku zgody uprawnionego lub wyraźnego przepisu ustawy. Oczywiście występować mogą rozwiązania ustawowe łączące elementy obydwu tych modeli .
Z odrębną sytuacją prawną stykamy się w USA. Tu brak jest kompleksowej ustawy o ochronie danych osobowych (i to zarówno na szczeblu federalnym, jak i na szczeblach stanowych). Występuje natomiast złożony układ przepisów sektorowych (branżowych), których uzupełnieniem mają być przyjmowane w gospodarce - w drodze umów lub powszechnej aprobaty - dobrowolne "normy samoregulujące", kodeksy , jak i wskazówki formułowane w orzecznictwie; starają się one wypełnić luki prawne często mając na uwadze głównie celowość ekonomiczną. Brak też w tym kraju, w przeciwieństwie do krajów europejskich, niezależnego organu, którego zadaniem byłoby kontrolowanie przestrzegania postanowień odnoszących się do ochrony danych osobowych.
Dodajmy, że w większości ustawodawstw zasadniczym kryterium swobody gromadzenia i dysponowania danymi osobowymi jest nieprzekraczanie potrzeb banków danych. Praktyki informatyczne w sferze danych osobowych powinny być aprobowane tylko w skonkretyzowanych i usprawiedliwionych przypadkach i tylko w granicach uzasadnionych prawnie celów; rodzaj zbieranych danych i postępowanie z nimi nie może odbiegać od funkcji, jaką dany bank danych ma realizować, od zadań, jakie ma spełniać dysponujący bankiem organ państwowy czy urząd. Chodzi więc o przeciwdziałanie nieusprawiedliwionemu zbieraniu danych osobowych, gromadzeniu ich dla niesprecyzowanych potrzeb oraz udostępnianiu podmiotom, które nie mogą się powołać na prawnie uzasadniony interes itd. Nie wszystkie te podstawowe założenia realizowane są w ustawodawstwach krajowych. W szczególności amerykańskiemu systemowi stawia się m.in. zarzut nierespektowania, tak jak się to czyni w Europie, zasady związania celem przetwarzania danych, czyli niewykorzystywania danych osobowych w celu innym niż ten, dla którego zostały zebrane.
6.
Niewątpliwie podstawowym, choć nie jedynym celem, jakiemu mają służyć ustawy o ochronie danych osobowych, jest respektowanie interesów tych (osób fizycznych i ewentualnie osób prawnych), których dotyczą gromadzone i przetwarzane informacje. Chodzi - najogólniej mówiąc - o interesy związane z poszanowaniem ujmowanej w zmodyfikowany sposób prywatności. Prawo do prywatności w tym zakresie może być jednak skutecznie wykonywane - jak się niekiedy zaznacza - tylko wtedy, gdy zbierane o danej jednostce przez innych informacje będą dla niej dostępne, gdy zainteresowani będą wiedzieć, kto i z jakich pobudek gromadzi informacje na ich temat. Stąd też istotnym warunkiem umożliwiającym osiągnięcie wspomnianych celów jest ujawnienie działalności (zwłaszcza automatycznych) systemów operujących danymi osobowymi. W rezultacie ustawodawcy decydują się na podanie do publicznej wiadomości faktów dotyczących prowadzonych banków danych (nazwa, adres, krąg osób objętych zakresem działania, rodzaj gromadzonych danych, cel zbierania, źródła danych, rodzaj rutynowego działania, potencjalni odbiorcy tych informacji, przepisy, w oparciu o które zainteresowany może mieć dostęp do danych lub ze względu na które może być mu taki dostęp odmówiony itp.). Informacje tego rodzaju ogłaszane bywają bądź w odpowiednich dziennikach rządowych, bądź w specjalnym rejestrze. Ze wspomnianego obowiązku ujawnienia wyłączane są przy tym niektóre systemy informacyjne, na przykład te, które są w dyspozycji służb ochrony konstytucji, kontrwywiadu wojskowego, jednostek ministerstwa obrony czy bezpieczeństwa publicznego, rejestry policyjne, a także ogólnopaństwowe agencje prasowe czy banki narodowe.
Jak widać, i co jest zrozumiałe, nie wprowadza się identycznych reguł dla wszystkich rodzajów banków danych. Znajduje to swe odbicie bądź w wydawaniu aktów prawnych dla poszczególnych dziedzin życia społecznego (w pierwszym rzędzie tych, gdzie najwyraźniej występują zagrożenia dla prywatności osób - tak np. w USA), bądź wprowadzaniu, wprawdzie jednego, generalnego aktu prawnego, w ramach którego różnicuje się jednak regulację odnoszącą się do poszczególnych typów banków danych. Bywa też, iż ustawodawcy ograniczają się do poddania prawnej regulacji wyłącznie banków danych funkcjonujących w sektorze publicznym. Zasadniczo jednak przedmiotem legislacyjnych rozstrzygnięć są banki danych działające zarówno w sektorze publicznym, jak i prywatnym, z tym że niekiedy (choć obecnie coraz rzadziej) wprowadzany bywa wówczas odmienny reżim odnoszący się do przetwarzania danych w administracji państwowej, odmienny zaś, gdy chodzi o tego rodzaju działalność wykonywaną przez osoby prawne prawa prywatnego czy nawet osoby fizyczne. Upraszczając, można powiedzieć, że banki danych w urzędach i instytucjach publicznych posiadają, w porównaniu z pozostałymi, czasem uprzywilejowany status, z tym że i wśród nich niektóre (np. będące w gestii parlamentu czy służb ochrony konstytucji) traktowane są w sposób szczególny. Z kolei poza sektorem publicznym przewiduje się odmienny reżim prawny dla systemów informatycznych służących zaspokajaniu własnych potrzeb dysponenta oraz takich, które nastawione są na komercyjne zbieranie i udostępnianie danych "na zewnątrz". Oczywiście wszystkie te rozróżnienia znajdują odbicie nie tylko w kwestii ujawnienia działalności, ale też w regulacjach dotyczących swobody zbierania i posługiwania się posiadanymi informacjami.
7.
Ochrona interesów osób, których dotyczą zbierane dane, realizowana jest w różny sposób, m.in. przez przepisy ustawy, kontrolę specjalnie powołanych w tym celu organów państwowych. Nierzadko przyznawane są indywidualne roszczenia, które mają bądź zapobiegać naruszeniom, bądź usuwać skutki dokonanych już naruszeń. Mogą to być roszczenia:
o informacje w sprawie gromadzonych o danej osobie danych oraz podmiotów, którym dane takie zostały udostępniane;
o poprawienie danych nieprawdziwych lub niepełnych;
o "zablokowanie" danych nieprawdziwych oraz takich, które zainteresowany kwestionuje, nie mogąc jednak natychmiast udowodnić ich nieprawdziwości; w tej sytuacji dalsze wykorzystywanie czy udostępnianie danych nie jest w zasadzie dopuszczalne, chyba że udzielona zostanie na to zgoda lub przemawiają za tym szczególne okoliczności (związane z usunięciem trudności dowodowych czy badaniami naukowymi);
o usunięcie ("wymazanie") tych danych, których gromadzenie w świetle prawa jest niedozwolone lub co do których zachodzą przesłanki usprawiedliwiające ich "zablokowanie", a równocześnie nie istnieje obawa, że usunięcie pociągnie za sobą naruszenie zasługujących na ochronę interesów osoby, której dane dotyczą;
o odszkodowanie za szkodę majątkową lub osobistą wynikłą z umieszczenia w banku danych informacji nieprawdziwych.
Występowanie ze wspomnianymi roszczeniami podlega oczywiście pewnym ograniczeniom. Nie bez znaczenia jest tu naturalnie wynikająca z przepisów czy właściwych decyzji jawność banku i dostępność jego zbiorów. Brane są pod uwagę także interesy dysponenta banku danych. Tak na przykład ze wspomnianym roszczeniem o "zablokowanie", przewidzianym w ustawie niemieckiej, występować można wówczas, gdy informacje nie są dla dysponenta niezbędne przy wypełnianiu postawionych mu zadań.
8.
Problemem nierozerwalnie związanym z kwestiami przetwarzania danych osobowych jest tajność informacji zebranych w bankach danych. Jest on regulowany w zróżnicowany sposób. Także tu znaczenie ma rodzaj banku danych, jego funkcja, usytuowanie w sektorze publicznym lub prywatnym. Szczególne ustawy zajmujące się ochroną danych osobowych niekiedy wprowadzają bezwzględny zakaz ich udostępniania, odnoszący się jednak do wybranych tylko rodzajów danych, a to:
do pewnych "danych wrażliwych" lub/i
danych objętych tajemnicą służbową, lub/i
niektórych informacji związanych z przynależnością osób do grup społecznych czy związków, informacji zasadniczo innych niż te, które zaliczane są do danych wolnych.
Najczęściej tajemnica danych ma tylko względny charakter, tzn. udostępnianie danych nie jest generalnie zabronione, lecz jedynie powiązane ze spełnieniem określonych warunków. Takimi warunkami bywa:
zgoda zainteresowanego względnie zastępujący ją wyraźny przepis ustawy;
zgoda specjalnego urzędu nadzorującego funkcjonowanie banków danych (wymagana jest najczęściej przy przekazywaniu danych za granicę);
istnienie po stronie ubiegającego się o dane prawnej podstawy (umocowania) do wystąpienia z takim żądaniem; czasem kryterium jest mniej ścisłe i "słabsze", bowiem odwołuje się do słusznego interesu;
wykazanie, że uzyskanie stosownych informacji jest niezbędne dla wypełnienia normalnych, statutowych zadań, dla wykonywania obowiązków służbowych;
wykazanie, że dane użyte zostaną dla tych samych celów, dla których były zbierane.
W ustawodawstwach dotyczących ochrony danych występują również niezbyt ścisłe, ogólnikowo formułowane zastrzeżenia bezpośrednio uzależniające przekazywanie danych od respektowania interesów osób, których dane dotyczą. Statuowane są więc zakazy ujawniania zgromadzonych informacji we wszystkich przypadkach, gdy występuje obawa, że będą one wykorzystane:
w sposób przynoszący zagrożenie dla życia, zdrowia lub wolności osobistej;
w sposób naruszający chronione prawem interesy podmiotów informacji; uzupełnia się tę przesłankę regułą, iż niedozwolone jest przekazywanie danych zawsze wtedy, gdy miano by się nimi posłużyć w sposób sprzeczny z ustawą.
Wreszcie czasem udostępnianie uzależnione jest od zachowania szczególnej formy, tzn. może nastąpić na przykład tylko w formie tzw. zestawów listowych.
9.
Należy nadmienić, że przy wyznaczaniu zakresu poufności bierze się niekiedy pod uwagę również kryteria czasowe. Zabrania się mianowicie przekazywania pewnych danych po upływie określonego czasu. Niedozwolone może być na przykład przekazywanie informacji o wszelkich sprawach, które wydarzyły się przed więcej niż 5 laty, chyba że z istoty swej pozostają one relewantne bez względu na upływ czasu albo w konkretnym przypadku jest ewidentne, że zachowały nadal dla określonej sprawy zasadnicze znaczenie. Stwierdza się wówczas, że banki nie powinny przekazywać informacji rzutujących na wiarygodność i zaufanie do kredytobiorcy, jeśli informacje dotyczą zdarzeń czy okoliczności, które miały miejsce przed więcej niż 5 laty. Ustawodawca może także relatywizować taki zakaz udostępniania danych, zezwalając na posłużenie się nimi również po upływie 5 lat, jeżeli w konkretnym przypadku informacja zachowała znaczenie dla oceny solidności i zaufania kredytowego osoby, której ta informacja dotyczy.
10.
Analizując rozwiązania prawne wprowadzone w niektórych krajach dostrzec można pewne symptomy wykształcania się reguł tajemnicy informatycznej rozumianej jako swoisty rodzaj tajemnicy zawodowej. Z ustalonymi i zakorzenionymi już rodzajami tajemnic zawodowych stykamy się na przykład w pracy dziennikarzy, adwokatów, lekarzy. W omawianym przypadku chodziłoby o działalność osób, które zajmują się obsługą i mają dostęp do zawartości banków danych, w szczególności skomputeryzowanych, a przy tym gromadzących dane osobowe.
Na zagadnienie tajemnicy informatycznej jako szczególnej tajemnicy zawodowej zwróciły uwagę rezolucje 22 i 29 Rady Europy z 1973 i 1974 r. Stwierdza się w nich, że personel zajmujący się elektronicznym przetwarzaniem danych powinien zostać związany specjalnymi regułami postępowania (w tym zwłaszcza obowiązkiem dochowania tajemnicy), po to by zapobiec nadużyciom i wykorzystywaniu danych niezgodnie z ich przeznaczeniem. Rezolucja 22 nazywa nawet wprost te reguły "tajemnicą zawodową" (professional secrety).
Wspomniana tajemnica informatyczna ma w niektórych krajach oparcie w przepisach karnych zamieszczonych w ustawach o ochronie danych. Hipoteza opisywanego w tych przepisach przestępstwa polega na bezprawnym przekazaniu czy wykorzystaniu danych przez osobę, której zostały one powierzone lub udostępnione wyłącznie ze względu na pracę zawodową w zakresie przetwarzania danych (tak np. w USA, Szwecji). Niekiedy ustawodawcy treść przepisu karnego w pewnym stopniu relatywizują i łagodzą poprzez dodanie, że chodzi tylko o takie posłużenie się bez zezwolenia informacją, które:
jest w stanie wyrządzić szkodę w sferze reputacji, poważania czy prywatności osoby;
może prowadzić do naruszenia słusznych interesów podmiotów, których informacje dotyczą.
Poza normami karnymi podstawę obowiązku zachowania tajemnicy przez personel banków danych stanowić mogą także postanowienia umów o pracę. Ten model przyjmuje ustawa niemiecka, stanowiąc że ten, kto pracuje w instytucji trudniącej się przetwarzaniem danych, czy to "dla siebie" czy to "na zewnątrz", nie może bez upoważnienia przetwarzać, udostępniać lub używać w inny osób danych osobowych dla celów odmiennych od tych, które służą zgodnemu z prawem wypełnianiu zadań przez instytucję. Takie zobowiązanie powinna podjąć każda ze wspomnianych osób przed rozpoczęciem działalności. Podobna myśl zawarta jest w ustawie austriackiej. Obie przy tym przewidują, że obowiązek dochowania tajemnicy nie ustaje wraz z zakończeniem działalności banku danych.
Określenie "tajemnica informatyczna" w odniesieniu do przetwarzania danych osobowych może być jednak kwestionowane. Argumenty przemawiające przeciwko posługiwaniu się w tym kontekście wskazanym powyżej pojęciem są następujące: po pierwsze - dane osobowe zazwyczaj objęte są tajemnicą także wtedy, gdy przetwarzane są "manualnie", w tradycyjnych zbiorach, na przykład w kartotekach (a więc poza systemami informatycznymi); po drugie - przetwarzaniem w systemach informatycznych, a co za tym idzie, także tajemnicą objęte są często także inne dane, nie tylko osobowe; wreszcie po trzecie - osoby, które przetwarzają dane osobowe w przeważającej większości nie są informatykami (a można twierdzić, że omawiane określenie odnosi się właśnie to tej grupy zawodowej). Wskazane tu argumenty skłaniają do wniosku, iż omówiona powyżej tajemnica zawodowa może być określana jako "tajemnica osób przetwarzających dane osobowe" - ujmując to zagadnienie od strony podmiotowej lub "tajemnica danych osobowych" - w ujęciu przedmiotowym.
B.Ochrona na płaszczyźnie międzynarodowej
I.Europejska konwencja o ochronie praw człowieka i podstawowych wolności (Europejska Konwencja Praw Człowieka)
Wśród praw uwzględnionych w Europejskiej Konwencji Praw Człowieka z 1950 r. znajduje się także (w art. 8) prawo do poszanowania życia prywatnego i rodzinnego, mieszkania oraz tajemnicy korespondencji. Inaczej jednak niż to ma miejsce w Powszechnej Deklaracji Praw Człowieka, uchwalonej przez Zgromadzenie Ogólne Narodów Zjednoczonych w 1948 r. (art. 12), konwencja dopuszcza pod pewnymi warunkami ograniczenie tych praw w przepisach wewnętrznych. Zastrzega, że jakiekolwiek ingerowanie przez władze publiczne w wykonywanie wspomnianych praw dopuszczalne jest tylko wówczas, gdy:
następuje na podstawie ustawowego upoważnienia i
stanowi środek niezbędny do zapewnienia w demokratycznym społeczeństwie:
bezpieczeństwa narodowego,
porządku i spokoju publicznego,
gospodarczego dobra kraju,
obrony ładu i przeciwdziałania czynom karalnym,
ochrony zdrowia i moralności lub ochrony praw i wolności innych osób.
Taka regulacja nakłada na państwa przystępujące do wymienionej konwencji zobowiązania związane z kwestiami tworzenia i posługiwania się bankami danych osobowych, których funkcjonowanie wkracza w zagwarantowane każdemu prawo do prywatności. Ich działalność powinna mieć prawną (ustawową) podstawę i musi służyć realizacji jednego z wymienionych taksatywnie w konwencji celów. O tym jednak, na ile zakres zacytowanego przepisu można rozciągać na zagadnienia ochrony danych osobowych, decyduje to, w jaki sposób i jak szeroko interpretowane jest pojęcie "życie prywatne i rodzinne". W doktrynie istnieje w tej mierze duża rozbieżność poglądów, od takich, które całkowicie sprzeciwiają się poddawaniu problematyki ochrony danych osobowych pod działanie art. 8 konwencji, po takie, które to w pełni aprobują. Także w orzecznictwie brak wyraźnego wypracowanego stanowiska w sprawie wykładni użytego w art. 8 ust. 1 pojęcia "życie prywatne" w odniesieniu do pozyskiwania, gromadzenia, przetwarzania, zmieniania, usuwania i przekazywania (udostępniania) danych osobowych. Wydaje się, iż uzasadnione jest jednak stwierdzenie, że w ograniczonym zakresie omawiana konwencja bezpośrednio dotyczy ochrony danych osobowych. Przemawia za tym niżej omówione orzecznictwo Trybunału w Strasburgu.
Dodajmy, że omawiana konwencja stanowi w art. 14, iż korzystanie z wyrażonych w niej praw i wolności musi być gwarantowane bez różnic ze względu na płeć, rasę, kolor skóry, język, religię, polityczne lub inne poglądy, pochodzenie narodowe lub socjalne, przynależność do mniejszości narodowej, majątek, urodzenie lub status innego rodzaju.
II.Orzecznictwo Trybunału Praw Człowieka w Strasburgu
1.
Choć problematyka ochrony danych osobowych sensu stricto stanowi materię stosunkowo nową i brak w tej mierze dorobku judykacyjnego Trybunału Strasburskiego, niemniej celowe wydaje się wskazanie na niektóre orzeczenia wydane na gruncie Europejskiej Konwencji Praw Człowieka, których związek z zagadnieniem ochrony danych osobowych wydaje się szczególnie bliski. Chodzi tu przede wszystkim o orzecznictwo na tle art. 8 konwencji. Łatwo bowiem wykazać, że przetwarzanie danych osobowych niejednokrotnie wkracza w chronioną sferę życia prywatnego . Należy mieć przy tym świadomość, że ustalenia w powyższym zakresie mają istotny walor praktyczny. Chodzi bowiem o stwierdzenie, czy krajowa regulacja lub judykatura (interesują nas oczywiście przede wszystkim polskie) dotycząca ochrony danych osobowych jest zgodna z wymogami konwencji. Oceny w tym zakresie są dokonywane w pierwszym rzędzie z perspektywy przepisu art. 8 ust. 2, a zatem dopuszczalnych ograniczeń treści prawa do prywatności "koniecznych w demokratycznym społeczeństwie".
2.
Większość spraw związanych ze zbiorami danych osobowych dotyczy sfery danych policyjnych, materiałów związanych z bezpieczeństwem państwa oraz dokumentacji medycznej. Jedno z pierwszych orzeczeń dotyczących ochrony danych osobowych w kontekście prawa do prywatności zapadło na gruncie omawianej konwencji w sprawieX v. Republika Federalna Niemiec (1973) . W orzeczeniu Europejska Komisja Praw Człowieka stwierdziła, że zbieranie i przechowywanie informacji przez policję "samo jako takie" nie jest sprzeczne z art. 8 konwencji, nawet jeżeli osoba, której dane dotyczą, nie ma "kryminalnej przeszłości". Okolicznością istotną w omawianej sprawie był fakt, iż dane nie były udostępniane osobom trzecim. Z kolei w sprawieX v. Austria uznano, że przekazywanie sądowi przez policję danych osobowych jest uzasadnione ze względu na zapobieganie przestępczości. Można zatem przyjąć, iż poza przypadkami szczególnymi, gromadzenie i przechowywanie danych o życiu prywatnym powinno być, co do zasady, oceniane jako naruszenie art. 8 konwencji .
3.
W sprawieLeander v. Szwecja (1987) skarżący zarzucał, że szwedzki rząd otrzymuje o nim poufne informacje, a ich wykorzystywanie przez państwo uniemożliwia mu uzyskanie pracy w sektorze publicznym. W orzeczeniu uznano jednak legalność działania Szwecji w świetle art. 8 konwencji i stwierdzono przy tym, że dostęp do pracy w sektorze publicznym nie jest objęty działaniem konwencji. Jest to pierwsze sądowe orzeczenie, w którym stwierdzono, że rejestracja danych osobowych może naruszać prawo do życia prywatnego określone w art. 8 konwencji. W sprawie tej Leander żądał także prawa dostępu do swoich danych w celu dokonania ewentualnych sprostowań. W tej kwestii podniesiono, iż art. 10 zasadniczo zakazuje rządom wprowadzania ograniczeń w otrzymywaniu informacji od osób trzecich, które chcą takich informacji udzielić. Artykuł 10 natomiast nie dotyczy prawa osoby dostępu do rejestru zawierającego o niej informację.
4.
Duży rozgłos zyskała sprawaGaskin v. Wielka Brytania (1989); dotyczyła ona obowiązku państwa udostępniania osobie zbioru danych na jej temat. Chodziło tu o materiały w sprawie osoby, która większą część życia spędziła w domu poprawczym i w domu opieki społecznej. Zainteresowanemu odmówiono dostępu do tych materiałów, argumentując iż powierzone one zostały w warunkach poufności i że nie można uzyskać zgody na ich ujawnienie od osób, które dostarczyły te dane. Sąd w pierwszym rzędzie dokonał wyważenia, z jednej strony, interesów zainteresowanej osoby w uzyskaniu informacji o danych na temat własnego życia oraz, z drugiej strony, interesów osób trzecich, dla których zastrzeżono poufność oraz interesów państwa w zapewnieniu możliwości gromadzenia obiektywnych i wiarygodnych danych. Aczkolwiek wynik takiego wyważania interesów wskazywał raczej na prymat interesów państwa, to uznano jednak, że doszło do naruszenia konwencji przez to, iż nie zapewniono odpowiedniej procedury umożliwiającej niezależnemu organowi rozstrzyganie tego rodzaju spraw w sposób ostateczny; dotyczy to zwłaszcza sytuacji, gdy informator nie może być odnaleziony lub bezpodstawnie nie chce udzielić stosownej informacji.
5.
Z kolei w sprawieM.S. v. Szwecja (1997) przedmiotem oceny było udostępnienie przez klinikę Urzędowi Ubezpieczeń Socjalnych medycznych danych osobowych, które można określić jako szczególnie wrażliwe. Powódka twierdziła przy tym, że zostały one przekazane (udostępnione) w szerszym zakresie, niż było to konieczne (konkretnie: dla stwierdzenia zakresu uszkodzenia kręgosłupa). Trybunał stwierdził, że przekazanie tych danych nie naruszało warunków określonych w art. 8 ust. 2 konwencji. Dane udostępnione zostały stosownie do przepisów obowiązującej w Szwecji ustawy. Cel tego działania był uzasadniony, chodziło bowiem o ochronę interesów ekonomicznych państwa; udostępnienie danych miało wpływ na alokację publicznych środków finansowych przewidzianych dla uprawnionych. Ograniczenie prawa do prywatności, z jakim się tu stykamy, można uznać za konieczne w społeczeństwie demokratycznym; umożliwiało weryfikację przez właściwy urząd informacji dostarczonych bezpośrednio przez powódkę, przy równoczesnym obowiązku traktowania przez urząd tych danych jako poufnych na podobnych zasadach, jak czyni to klinika. Podniesiono przy tym, że przekazanie danych podlegało istotnym ograniczeniom oraz towarzyszyły mu skuteczne i adekwatne gwarancje zapobiegające nadużyciom. Orzeczenie to jest charakterystyczne także z tego względu, iż Trybunał potwierdził w nim wyraźnie, że ochrona danych osobowych, zwłaszcza o charakterze medycznym, ma znaczenie fundamentalne dla korzystania przez obywatela ze służącego mu prawa do poszanowania życia prywatnego i rodzinnego, o którym mówi art. 8 konwencji. Równocześnie podkreślono, że prawo krajowe musi zapewniać właściwe gwarancje zapobiegające takiemu ujawnianiu lub przekazywaniu danych zdrowotnych o charakterze osobistym, które mogłoby być niezgodne z gwarancjami zawartymi w art. 8 konwencji.
Udostępniania zdrowotnych danych osobowych dotyczyło także orzeczenie w sprawie Z. v. Finlandia (1997) . W orzeczeniu tym powtórzono, że "ochrona danych osobowych - nie tylko medycznych - ma zasadnicze znaczenie dla korzystania z prawa do poszanowania życia prywatnego i rodzinnego, zagwarantowanego w art. 8 konwencji". Podkreślono przy tym, że prawo wewnętrzne (krajowe) musi zapewniać odpowiednie gwarancje pozwalające zapobiegać ujawnianiu danych, co ma szczególne znaczenie dla ochrony tajemnicy informacji o zakażeniu wirusem HIV.
6.
Na szczególną uwagę zasługuje orzeczenie Trybunału - z 16 lutego 2000 r. w sprawie H. Amann v. Szwajcaria - którego główną tezą jest stwierdzenie, iż gromadzenie przez władze publiczne danych o jednostce jest ingerencją w prawo do poszanowania życia prywatnego, także wówczas gdy nie chodzi o tzw. dane wrażliwe .
Punktem wyjścia w tej sprawie było założenie przez Prokuratora Federalnego karty (teczki) H. Amanna, który w latach 80. sprowadzał do Szwajcarii przybory do depilacji, po tym, jak zatelefonowała do niego kobieta z ambasady ZSRR w Bernie i zamówiła tego rodzaju przyrząd. Istnienie karty, na której zapisano, iż H. Amann jest biznesmenem i miał kontakt z ambasadą ZSRR, wyszło na jaw w 1990 r. W skardze do Europejskiej Komisji Praw Człowieka H. Amann podniósł, że zarejestrowanie rozmowy telefonicznej i założenie w urzędzie prokuratora karty na jego temat, przechowywanej w specjalnej kartotece, narusza art. 8 konwencji. Komisja tę ocenę podzieliła, podobnie jak Trybunał, który zaznaczył, iż rozmowy telefoniczne z pomieszczeń prywatnych i służbowych są objęte pojęciem "życie prywatne" i "korespondencja" w rozumieniu art. 8 ust. 1 konwencji. Zarejestrowanie rozmowy, jakiej dotyczy sprawa, stanowiło ingerencję w życie prywatne i tajemnicę korespondencji. Poszanowanie życia prywatnego obejmuje prawo do nawiązywania i rozwijania stosunków z innymi ludźmi. Nie ma powodów, aby poza pojęciem "życie prywatne" sytuować działalność o charakterze zawodowym, biznesowym. Szeroka interpretacja jest tu zgodna z konwencją Rady Europy z 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. W tej sprawie założono kartę, na której zapisano m.in., iż H. Amann był biznesmenem i miał kontakt z ambasadą ZSRR. Informacje te niezaprzeczalnie należą do danych dotyczących życia prywatnego osoby, co - w konsekwencji - uzasadnia zastosowanie art. 8 konwencji .
O braku naruszenia art. 8 ust. 1 konwencji można byłoby mówić tylko wtedy, gdyby działanie:
było zgodne z prawem,
realizowało uprawniony cel,
było konieczne w demokratycznym społeczeństwie.
Trybunał zaznaczył przy tym, że dla spełnienia kryterium "zgodności z prawem" nie jest wystarczające, iż kwestionowany środek ma podstawę w prawie krajowym. Odnośne przepisy muszą być dostępne dla danej jednostki, a ich skutki - przewidywalne. Ten ostatni warunek spełniony jest wówczas, gdy przepis jest na tyle precyzyjny, aby jednostka - korzystając ewentualnie z porady - mogła odpowiednio regulować swoje zachowanie. Rejestrowanie rozmów i formy tajnej kontroli komunikowania się muszą być określone w prawie szczególnie jednoznacznym, zwłaszcza w obliczu coraz bardziej wyrafinowanych technologii. Szwajcarskie przepisy federalne dotyczące służby policyjnej oraz w sprawie postępowania karnego nie mogą być uznane za na tyle jasne i szczegółowe, aby zapewniały właściwą ochronę jednostce przed ingerencją władzy w jej życie prywatne i tajemnicę korespondencji. Ich ogólnikowość nie pozwala też uznać, iż spełniony został, wskazany wyżej, warunek przewidywalności. Ostatecznie Trybunał stwierdził, że dokonana przez organy władzy państwowej ingerencja, w tym założenie karty, nie może być uznana za przewidzianą przez szwajcarskie prawo, gdyż nie wskazuje ono wystarczająco jasno zakresu i warunków korzystania z dyskrecjonalnych uprawnień w tej sferze. Poza tym nie było podstaw do przechowywania karty w kartotece. Szwajcarskie przepisy o postępowaniu karnym wyraźnie przewidują niszczenie dokumentów, które nie są już niezbędne lub stały się bezużyteczne. Tego nie dokonano pomimo stwierdzenia, że nie wchodzi tu w grę żadne przestępstwo.
III.Rada Europy
1.Konwencja 108 Rady Europy z 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych
Uwagi ogólne
1.
Funkcję podstawowej międzynarodowej regulacji poświęconej ochronie danych osobowych spełnia konwencja Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Jest to - jak się zaznacza - jeden z najstarszych instrumentów międzynarodowej ochrony danych . Konwencja ta nakłada daleko idące zobowiązania na ustawodawców krajów członkowskich i nie pozostaje bez wpływu na interpretację Europejskiej Konwencji Praw Człowieka.
Konwencja weszła w życie z dniem 1 października 1985 r., po tym jak ratyfikowało ją 5 państw (Francja, RFN, Norwegia, Hiszpania i Szwecja) . Polska ratyfikowała konwencję dnia 24 kwietnia 2002 r. Konwencja nr 108 oddziałuje jedynie w sferze publiczno-prawnej; nie wywołuje natomiast żadnych skutków prawnych bezpośrednio po stronie obywateli krajów, które ją ratyfikowały. Niemniej - co należy dostrzec - tworzy ona pewien konsensus w zakresie ochrony danych, z którym zmierzyć się muszą uregulowania przyjmowane w krajach europejskich, aczkolwiek - na co wskazują postanowienia wyjątkowe - chodzi przy tym jedynie o minimalny poziom ochrony. Zachęca ona kraje nieposiadające regulacji na tym polu do wydania odpowiednich przepisów, ukierunkowując prace legislacyjne w tym zakresie i pozostawiając pewien margines swobody w kształtowaniu rozstrzygnięć odpowiadających danemu systemowi prawa. Konwencja bierze pod uwagę istniejące już w niektórych państwach rozstrzygnięcia prawne i stara się wprowadzać pewien wspólny poziom ochrony oraz nie tworzyć bariery dla wykorzystywania nowoczesnej techniki informacyjnej i komunikacyjnej; okoliczności te są szczególnie istotne, jeśli zważy się na fakt, iż konwencja zajmuje się także kwestią przekazywania danych osobowych pomiędzy krajami.
2.
Konwencja dostrzega też szczególny problem ścierania się prawa do informacji z prawem do ochrony danych osobowych, co znajduje swe odbicie m.in. w jej preambule. Zaraz po "przypomnieniu" o - jak to sformułowano - prawie do poszanowania prywatności, preambuła zawiera stwierdzenia: "Potwierdzając jednocześnie (...) zobowiązanie na rzecz swobodnego przepływu informacji bez względu na istniejące granice; Uznając konieczność pogodzenia podstawowych wartości poszanowania prywatności ze swobodnym obiegiem informacji między narodami (...)". Można powiedzieć, że głównym zadaniem, jakie sobie stawia konwencja, jest wprowadzenie ujednoliconej ochrony danych osobowych w krajach europejskich i zharmonizowanie jej z ideą swobodnego przepływu danych w obrębie państw członkowskich.
Cel i zakres konwencji
3.
Celem konwencji (jak stwierdza art. 1) jest zapewnienie na obszarze państw członkowskich każdemu, niezależnie od obywatelstwa i zamieszkania, ochrony jego praw i wolności, a w szczególności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych. Kraje członkowskie zobowiązują się konwencję tę stosować do zautomatyzowanych zbiorów danych i do automatycznego przetwarzania danych osobowych zarówno w sektorze publicznym, jak i prywatnym. Pojęcie "zautomatyzowany zbiór danych", jak wyjaśnia konwencja, oznacza każdy ogół informacji ujęty dla automatycznego przetwarzania. Natomiast pojęcie "automatyczne przetwarzanie" rozciąga się na następujące działania przeprowadzane w całości lub części z pomocą zautomatyzowanych procesów: gromadzenie danych, przeprowadzanie logicznych i rachunkowych operacji z tymi danymi, przekształcanie, usuwanie, odzyskiwanie i ujawnianie danych. "Dane osobowe" rozumiane są na gruncie konwencji jako wszelkie informacje o określonych lub dających się określić osobach fizycznych. Konwencja nie zajmuje się zatem ochroną interesów osób prawnych w kontekście gromadzenia, przetwarzania i udostępniania danych na ich temat.
Konwencja daje krajom przystępującym możność ograniczenia lub poszerzenia zakresu jej działania przez złożenie odpowiednich oświadczeń. Mogą one dotyczyć:
wyłączenia stosowania konwencji do określonych, wymienionych rodzajów zautomatyzowanych zbiorów danych osobowych; po to jednak, aby uniknąć zarzutu protekcjonizmu oraz aby nie dochodziło na tej drodze do tworzenia szczególnego statusu zbiorów z punktu widzenia obrotu międzynarodowego, konwencja zastrzega, iż wyłączeniem tym nie można obejmować takich zbiorów, które na podstawie prawa wewnętrznego danego kraju podlegają przepisom o ochronie danych;
objęcia działaniem konwencji także informacji o grupach osób, związkach, fundacjach, stowarzyszeniach, korporacjach i innych organizacjach, niezależnie od tego, czy posiadają one osobowość prawną, a które bezpośrednio lub pośrednio składają się z osób fizycznych;
objęcia działaniem konwencji także takich zbiorów danych osobowych, które nie są automatycznie przetwarzane.
Kraj, który rozszerza na swym terytorium działanie konwencji w sytuacjach opisanych w pkt b) i c), może równocześnie zastrzec, iż dotyczy to tylko wskazanych kategorii danych czy zbiorów. Kraj taki nie jest zobowiązany jednak do zapewnienia tego rodzaju poszerzonej ochrony względem innych krajów członkowskich, które takich poszerzeń nie wprowadziły. Również kraj, który ograniczył zakres stosowania konwencji przez zastrzeżenie wskazane wyżej w pkt a), nie może domagać się od innych krajów ochrony tej kategorii zbiorów danych, które sam objął wyłączeniem.
Zasady ochrony danych osobowych. Minimum ochrony
4.
Każdy z krajów członkowskich zobowiązuje się, by przed wejściem w życie konwencji na jego obszarze wprowadzić do swojego prawa wewnętrznego przepisy konieczne dla realizowania zasad ochrony danych statuowanych w jej rozdziale II. Przewidzieć on przy tym powinien:
sankcje i środki prawne na wypadek naruszenia tego rodzaju przepisów;
środki właściwe dla zabezpieczenia przed przypadkowym lub bezprawnym zniszczeniem, utratą, dostępem, zmianą lub ujawnieniem danych osobowych zgromadzonych w zautomatyzowanych zbiorach.
Konwencja stanowi nadto, że przepisy rozdziału II nie powinny być interpretowane w sposób, który ograniczałby lub naruszał możliwości kraju członkowskiego zagwarantowania osobom, których dane dotyczą, szerszego zakresu ochrony niż ten, który przewiduje konwencja.
5.Zasada jakości i adekwatności danych oraz związania celem (przeznaczeniem) zbierania danych (art. 5 i 6)
Przetwarzane automatycznie dane osobowe muszą być:
uzyskiwane i przetwarzane w dobrej wierze i w sposób zgodny z prawem;
gromadzone dla oznaczonych oraz zgodnych z prawem celów i nie mogą być wykorzystywane niezgodnie z tymi celami;
odpowiednie oraz istotne dla celów, dla których są gromadzone i nie mogą poza te granice wykraczać;
właściwe merytorycznie oraz, jeśli to konieczne, odnoszące się do najnowszego stanu;
przechowywane tak, żeby osoba, której dotyczą, nie mogła być identyfikowana dłużej, niż to jest konieczne dla celu, dla którego są one zgromadzone.
Dane osobowe, które ujawniać mogą pochodzenie rasowe, poglądy polityczne lub religijne albo innego rodzaju przekonania, jak również dane osobowe dotyczące zdrowia, życia seksualnego lub orzeczeń karnych, mogą być automatycznie przetwarzane tylko wówczas, gdy przepisy wewnętrzne zapewniają właściwą ochronę.
6.Ochrona dodatkowa. Prawo dostępu do danych (art.8)
Każdej osobie musi zostać zapewniona możliwość:
stwierdzenia istnienia zautomatyzowanego zbioru danych osobowych, jego głównego celu i oznaczenia, miejsca pobytu lub siedziby podmiotu odpowiedzialnego za zbiór (chodzi tu o osobę fizyczną lub prawną, władzę, organizację lub inną jednostkę, która według prawa wewnętrznego jest kompetentna do decydowania, jakiemu celowi ma służyć zbiór, jakie rodzaje danych osobowych mają być gromadzone i jakie procesy przetwarzania zostaną zastosowane);
otrzymania we właściwym czasie, bez nadmiernej zwłoki i nadmiernych kosztów, potwierdzenia, czy dane na jego temat są zgromadzone w zautomatyzowanym zbiorze danych osobowych, jak również uzyskanie tego, że dane te zostaną mu w zrozumiałej formie zakomunikowane;
poprawienia lub usunięcia w określonych przypadkach danych, jeśli są one przetwarzane wbrew przepisom prawa wewnętrznego realizującym zasady wyrażone w art. 5 i 6 konwencji;
dysponowania odpowiednimi środkami prawnymi na wypadek, gdy nie zostaną spełnione żądania, o których mowa w pkt b) i c).
7.Dozwolone ograniczenie ochrony
Odstąpienie od zasad wyrażonych w art. 5, 6 i 8 konwencji jest dopuszczalne tylko gdy:
jest przewidziane w prawie danego kraju członkowskiego i
stanowi środek konieczny w demokratycznym społeczeństwie do:
ochrony bezpieczeństwa państwowego, bezpieczeństwa publicznego, interesów obronnych państwa albo zwalczania czynów karalnych,
ochrony osób, których dane dotyczą lub praw i wolności osób trzecich.
Dozwolone jest także ograniczenie ustawą dotyczącą zautomatyzowanych zbiorów danych osobowych uprawnień wskazanych w art. 8 pkt b), c) i d), jeśli chodzi o zbiory służące celom statystycznym lub badaniom naukowym, o ile nie istnieje oczywiste niebezpieczeństwo naruszenia sfery osobistej osób, których gromadzone dane dotyczą.
Przekazywanie danych osobowych pomiędzy krajami
8.
Konwencja przyjmuje zasadę swobodnego obrotu danymi pomiędzy krajami członkowskimi, co niewątpliwie zwiększa jej "siłę przyciągania"; przyjęto regułę, iż krajom członkowskim nie wolno w istocie zakazywać lub uzależniać od szczególnego zezwolenia przekazywania danych osobowych na teren innego kraju członkowskiego; dozwolone jest to tylko wówczas, gdy służy celom ochrony sfery osobistej. Konwencja pozostawia jednak możliwość wprowadzania pewnych restrykcji w zakresie ponadkrajowego obrotu danymi. Kraj członkowski może wprowadzić w tej mierze dalej idące ograniczenia, gdy:
dla określonych rodzajów danych osobowych lub określonych zbiorów takich danych, ze względu na ich charakter, prawo tego kraju zawiera szczególne (w znaczeniu: statuujące dalej idącą ochronę) przepisy; ograniczeń opartych na tej podstawie nie można jednak stosować względem innych krajów członkowskich, które przewidują w tym zakresie równoważną ochronę;
chodzi o zapobieżenie obchodzenia prawa w sposób polegający na transferowaniu danych na teren kraju nienależącego do konwencji poprzez obszar innego kraju członkowskiego.
Wzajemna pomoc i współpraca
9.
Kraje członkowskie zobowiązują się do wzajemnej pomocy związanej z wykonaniem konwencji i w tym celu wskazują określony urząd (urzędy) mające zadanie to realizować, o czym powiadamiają Sekretarza Generalnego Rady Europy. Urząd taki będzie na prośbę urzędu innego kraju członkowskiego udzielał informacji o stanie prawnym i praktyce w zakresie ochrony danych oraz będzie podejmował wszelkie właściwe środki zgodne z prawem wewnętrznym, a służące tylko ochronie sfery osobistej po to, by udzielić rzeczowych informacji o określonym automatycznym przetwarzaniu danych prowadzonym na jego obszarze, jednakże z wyłączeniem informacji o samych przetwarzanych przy tym danych osobowych.
Każdy z krajów członkowskich jest przy tym zobowiązany do udzielania pomocy osobom mieszkającym za granicą przy wykonywaniu praw, jakie przysługują im według przepisów prawa wewnętrznego, a realizujących zasady ustanowione w art. 8 konwencji. Osoba mieszkająca na obszarze kraju członkowskiego może swój wniosek o udzielenie pomocy składać do oznaczonego urzędu w tym kraju. Wniosek taki musi zawierać wszystkie potrzebne informacje, w szczególności:
nazwisko, adres i inne dane identyfikujące wnioskodawcę,
zautomatyzowany zbiór danych osobowych, których wniosek dotyczy, oraz podmiot odpowiedzialny za ten zbiór,
cel wniosku.
Nie może natomiast takiego wniosku złożyć sam urząd zagraniczny w imieniu osoby mieszkającej za granicą, bez jej wyraźnej zgody. Poza tym konwencja zastrzega, że informacje otrzymane poprzez urząd danego kraju członkowskiego od urzędu innego kraju członkowskiego w związku ze swą prośbą lub wnioskiem o udzielenie pomocy mogą być wykorzystywane tylko do celów znajdujących się u podstawy prośby lub wniosku.
Za udzielaną pomoc nie mogą być pobierane żadne opłaty, poza kwotami należnymi rzeczoznawcom i tłumaczom.
Odrzucenie prośby lub wniosku, o których była mowa, może nastąpić tylko wówczas, gdy:
nie są one zgodne z uprawnieniami urzędu właściwego do udzielenia odpowiedzi,
nie odpowiadają postanowieniom konwencji,
ich spełnienia nie można pogodzić z suwerennością, bezpieczeństwem lub porządkiem publicznym danego kraju członkowskiego albo z prawami i podstawowymi wolnościami osób poddanych jurysdykcji tego kraju.
Komisja doradcza
10.
Sekretarz Generalny Rady Europy powołuje komisję doradczą. Składa się ona z przedstawicieli (po jednym) wszystkich krajów członkowskich; każdy kraj wyznacza też jednego zastępcę. Kraj należący do Rady Europy, który nie przystąpił jednak do konwencji, ma prawo być reprezentowany w komisji przez obserwatora.
Do kompetencji komisji należy:
składanie propozycji w sprawie ułatwienia lub poprawienia stosowania konwencji,
proponowanie zmian w konwencji,
wypowiadanie się co do zaproponowanych zmian w konwencji,
zajmowanie stanowiska na prośbę kraju członkowskiego w sprawie wszystkich kwestii związanych ze stosowaniem konwencji.
Protokół dodatkowy
11.
Kraje członkowskie konwencji 108 wypracowały w instytucjonalnych ramach Rady Europy Protokół Dodatkowy do tej konwencji, który ustanawia dodatkowe materialne oraz formalne warunki dla przetwarzania danych osobowych . Można przyjąć, iż głównym celem tego przedsięwzięcia jest zmniejszenie różnic dzielących regulację przyjętą w konwencji oraz w dyrektywie Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Różnice te nie są zresztą bardzo liczne. Wiele rozwiązań, jak choćby te, które dotyczą podstawowych reguł legalizacji przetwarzania danych osobowych, a także ich rzetelności (jakości), podobnie jak kwestii danych wrażliwych, ujętych jest w obu wymienionych dokumentach podobnie. To samo odnosi się do praw służących osobom, których dane są przetwarzane. Tak więc ostatecznie protokół koncentruje się w istocie na dwóch zagadnieniach, charakteryzowanych w dalszej części tego tekstu.
Ważną część protokołu stanowią przepisy dotyczące tworzenia organu nadzorującego, jak i przekazywania danych pomiędzy krajami konwencji. W swym dotychczasowym kształcie konwencja nie zawiera bowiem wyrażonego w sposób wyraźny zobowiązania co do tworzenia organów nadzorczych (kontrolnych), tak jak to przewiduje dyrektywa 95/46/WE , która w art. 28 zobowiązuje generalnie kraje członkowskie do ustanowienia "stosownych środków prawnych" . Omawiany protokół uzupełnia dotychczasową regulację, przyjmując że we wszystkich państwach-stronach konwencji działać powinny organy nadzorcze, które swe uprawnienie będą wykonywać całkowicie niezależnie. Do ich kompetencji należeć powinno m.in. interweniowanie w interesie poszczególnych osób w przypadku naruszenia prawa oraz wszczynanie postępowań kontrolnych, a także postępowań sądowych.
W niewielkim stopniu konwencja poświęca też uwagę kwestiom ochrony danych w relacjach międzynarodowych . W odniesieniu do tej materii można wskazać co najwyżej na występujące w uzasadnieniu do konwencji kryterium "zadowalającego poziomu ochrony danych", jednakże określenie to nie jest bliżej zdefiniowane. Nie istnieje przy tym żaden generalny zakaz eksportu danych do krajów nieposiadających "zadowalającego", "stosownego" czy "równorzędnego" poziomu ochrony. Równocześnie konwencja zobowiązuje kraje członkowskie do zapewnienia swobodnego przepływu danych (art. 12). Ten stan rzeczy prowadzi do swoistej sytuacji konfliktowej, odnoszącej się do krajów Unii, które uwzględniać muszą zarówno postanowienia wymienionej wyżej dyrektywy, jak i zobowiązania wynikające z konwencji. I tak, z jednej strony, ciąży na nich konwencyjny obowiązek zagwarantowania swobody przepływu danych (art. 12), z drugiej zaś strony - stosownie do reguł wyrażonych w dyrektywie - powinny one zabronić eksportowania danych, także do krajów członkowskich konwencji, jeśli nie zapewniają one "stosownej" ("adekwatnej") ochrony.
Mając to na uwadze, w omawianym protokole wprowadzono rozwiązanie, które pozwoli kontrolować "rzekę danych" płynącą do innych krajów, a przy tym tworzyć obszar swobodnej cyrkulacji danych. Służyć temu ma głównie ustanowienie wymagania "stosownego" ("adekwatnego") poziomu ochrony przy ponadgranicznym przekazywaniu danych. Od zasady zakazu eksportu, w sytuacjach gdy taki wymóg nie jest spełniony, przewidziane są wyjątki, odpowiadające tym, jakie przyjęto w dyrektywie (w art. 26).
Protokół dodatkowy do konwencji 108 zaczął obowiązywać 1 lipca 2004 r. w stosunku do pierwszych pięciu państw, które go ratyfikowały, natomiast w odniesieniu do pozostałych krajów po upływie trzech miesięcy od ratyfikacji. Polska zakończyła procedurę ratyfikacyjną protokołu dnia 12 lipca 2005 r.
2.Rezolucje (zalecenia) Rady Europy
12.
W latach 1973 i 1974 wydane zostały przez Komitet Ministrów Rady Europy dwie istotne dla ochrony danych osobowych rezolucje . Dotyczą one ochrony sfery prywatności osób fizycznych w aspekcie wykorzystywania elektronicznych banków danych:
w sektorze prywatnym (rezolucja 22),
w sektorze publicznym (rezolucja 29).
Mają one charakter niewiążących zaleceń, zaś ich głównym zadaniem jest mobilizowanie rządów krajów członkowskich do podjęcia wszelkich koniecznych środków w celu realizacji podanych w tych rezolucjach zasad; kraje członkowskie powinny też powiadamiać Sekretarza Generalnego Rady o poczynionych krokach.
13.
Rezolucja 22 (73) formułuje następujące zasady:
gromadzone informacje powinny być dokładne i aktualne, przy czym w zasadzie nie powinny to być informacje dotyczące "ścisłego" życia prywatnego lub takie, które mogłyby łatwo prowadzić do dyskryminacji, a gdy tego rodzaju informacje już są zbierane - nie powinny być rozpowszechniane;
gromadzone informacje powinny ograniczać się do takich, jakie odpowiadają celowi, dla którego są zbierane, oraz są w tej mierze niezbędne;
informacje nie powinny być uzyskiwane sposobami podstępnymi lub nieuczciwymi;
postanowienia powinny oznaczać, do jakiego momentu określone rodzaje informacji mogą być gromadzone lub wykorzystywane;
bez odpowiedniego upoważnienia informacje nie powinny być ani używane do innych celów niż te, dla których były zbierane, ani też innym osobom udostępniane;
zainteresowanym osobom powinno zasadniczo przysługiwać uprawnienie do uzyskania informacji o zbieranych na ich temat informacjach, o celu ich zbierania i szczegółach dotyczących ich wydawania;
powinno się bezwarunkowo zadbać o poprawianie informacji nieścisłych i usuwanie informacji przestarzałych lub uzyskanych w sposób bezprawny;
należy zastosować środki ostrożności zapobiegające niewłaściwemu lub podstępnemu wykorzystywaniu informacji; elektroniczne banki danych powinny być wyposażone w systemy zabezpieczające uniemożliwiające dostęp do nich osobom nieuprawnionym i służące wykryciu informacji utraconych, jak i zniekształconych, w sposób zamierzony lub niezamierzony;
zebrane dane powinny być dostępne tylko dla osób mających uzasadniony powód, by się z nimi zapoznać; personel obsługujący elektroniczny bank danych powinien podlegać regulaminowi zakładowemu, który zapobiegałby wszelkim przypadkom nadużycia danych, a w szczególności postanowieniom o zachowaniu tajemnicy zawodowej;
dane statystyczne powinny być udostępniane tylko w formie zbiorczej i w sposób, który uniemożliwiałby łączenie tych informacji z określonymi osobami.
14.
Rezolucja 29 (74) powtarza w istocie główne myśli zasad przyjętych w przedstawionej wyżej rezolucji. W niektórych punktach jednak je uściśla. W szczególności, aprobując regułę, iż postanowienia powinny wskazywać granicę czasową, według której dozwolone jest zbieranie lub wykorzystywanie określonych kategorii danych, zastrzega równocześnie możliwość statuowania w tej mierze wyjątków i dopuszczenia nieograniczonego czasowo używania informacji, jeśli jest to usprawiedliwione celami statystycznymi, naukowymi lub historycznymi; w takich wyjątkowych sytuacjach należy jednak przedsiębrać środki, które zapobiegałyby naruszeniom sfery prywatności osób, których dane dotyczą. Dostęp do informacji, które nie mogą być swobodnie udostępniane, powinien być ograniczony do osób posiadających odpowiednią wiedzę w związku z wykonywaniem określonych funkcji zawodowych.
Dane wykorzystywane dla celów statystycznych mogą być rozpowszechnianie tylko w sposób uniemożliwiający powiązanie ich z oznaczonymi osobami.
Podobnie jak wcześniej omówiona także i ta rezolucja przyjmuje zasadę, że każda osoba powinna mieć prawo wglądu w zbierane na jej temat informacje; podkreślono przy tym wyraźnie, iż wszelkie wyjątki w tej mierze muszą zostać uregulowane w sposób ścisły.
To, co w treści omawianej rezolucji jest nowe, dotyczy dwóch postulatów:
społeczeństwo powinno być w zasadzie regularnie informowane o zakładaniu w sektorze publicznym, eksploatowaniu i rozwijaniu banków danych;
gdy przedmiot przetwarzania stanowią w szczególności dane należące do sfery intymnej osób fizycznych lub gdy przetwarzanie danych może prowadzić do nieusprawiedliwionej dyskryminacji:
założenie takich banków danych musi być przewidziane przez ustawę lub szczególne rozporządzenie albo, zgodnie z systemem prawnym kraju członkowskiego, musi być obwieszczone we właściwym dokumencie,
ustawa, rozporządzenie lub inne przepisy muszą jasno podawać cel zbierania i używania informacji, jak również warunki konieczne dla dalszego ich przekazywania bądź w obrębie administracji publicznej, bądź osobom lub instytucjom prywatnym,
gromadzone dane nie mogą być używane do innych niż podane celów, chyba że wyjątek zostanie wyraźnie w ustawie przewidziany lub będzie usankcjonowany przez kompetentną władzę, względnie gdy zmienione zostaną przepisy o elektronicznych bankach danych.
15.
Obok przedstawionych wyżej rezolucji odnotować należy również następujące:
Rezolucję 29 (78) dotyczącą harmonizacji ustawodawstwa krajów członkowskich dotyczącego pobierania iprzeszczepiania ludzkich tkanek iorganów; porusza ona m.in. problem poufności indywidualnych zabiegów, jak i nieujawniania biorcy tożsamości dawcy i vice versa.
Rezolucję 3 (95) dotyczącą karty oceny zawodowej osób niepełnosprawnych; zwraca ona uwagę m.in. na to, aby wszystkie informacje zbierane dla oceny przydatności zawodowej niepełnosprawnych podlegały uregulowaniom dotyczącym ochrony danych osobowych oraz tajemnicy zawodowej i medycznej. Dane takie mogłyby być wykorzystywane tylko w interesie wymienionych osób, za ich zgodą oraz do celów rehabilitacji zawodowej.
16.
Charakter zaleceń posiadają także dalsze, szczegółowe rekomendacje wydane i przyjęte przez Komitet Ministrów Rady Europy. Mają one na celu przede wszystkim uszczegółowiać dla poszczególnych dziedzin sektora publicznego rozwiązania przyjęte w konwencji 108 Rady Europy, o której wcześniej (w pkt 1) była mowa. Na wymienienie zasługują przede wszystkim:
Rekomendacja 1 (81) w sprawie regulacji dotyczącej zautomatyzowanych medycznych banków danych; o zakładaniu lub przekształcaniu takich banków (służących np. opiece medycznej, zarządzaniu placówkami medycznymi) powinny być informowane osoby zainteresowane. Dostęp do nich powinni mieć tylko pracownicy medyczni.
Rekomendacja 3 (83) w sprawie ochrony użytkowników skomputeryzowanych usług informacji prawniczej.
Rekomendacja 10 (83) w sprawie ochrony danych osobowych wykorzystywanych do celów badań naukowych i statystyki; podkreśla ona zasadę związania celem, dla którego dane zostały zebrane, oraz stwierdza, iż dane takie przed opublikowaniem muszą ulec anonimizacji, chyba że osoby, których one dotyczą, wyraziły zgodę na publikację. Nadto zaleca, aby instytucjom zbierającym dane dla wymienionych celów umożliwiony został dostęp do oficjalnych rejestrów ludności.
Rekomendacja 10 (84) w sprawie rejestrów karnych i rehabilitacji osób skazanych; formułuje ona szczególne ograniczenia, jeśli chodzi o udostępnianie i wykorzystywanie informacji z rejestrów karnych.
Rekomendacja 20 (85) w sprawie ochrony danych osobowych wykorzystywanych dla celów marketingu bezpośredniego; w rekomendacji tej wyrażono pogląd, iż - w granicach przewidzianych prawem - każda osoba powinna mieć możność zbierania danych osobowych do tego rodzaju potrzeb za pomocą publicznie dostępnych kartotek lub innych publikacji. Nie może jednak pozyskiwać danych wskazując na cel inny niż stosunki z klientami. Rekomendacja zajmuje się również udostępnianiem list marketingowych osobom trzecim. Zaleca poza tym tworzenie procedur chroniących interesy potencjalnych klientów, w tym umożliwiających wycofywanie nazwisk z takich list.
Rekomendacja 1 (86) w sprawie ochrony danych osobowych wykorzystywanych do celów opieki społecznej; dane osobowe służące takim celom powinny być - według rekomendacji - pozyskiwane jedynie w wyjątkowych przypadkach w sposób inny niż bezpośrednio od osób, których one dotyczą, z tym że osoby te powinny być o tym poinformowane oraz powinny wyrazić swą zgodę. Wymiana danych między instytucjami opieki społecznej, także wymiana transgraniczna, może być realizowana tylko w stopniu koniecznym dla wypełniania zadań. Posługiwaniu się numerem dla oznaczenia osoby powinny towarzyszyć przewidziane prawem krajowym gwarancje.
Rekomendacja 15 (87) o korzystaniu z danych osobowych w działalności policji; rozróżnia ona stałe zautomatyzowane kartoteki oraz kartoteki ad hoc. Tak jedne, jak i drugie powinny być - choć na różnych warunkach - zgłaszane odpowiedniej władzy i poddane kontroli ze strony niezależnego organu. Policja miałaby być zobowiązana do powiadamiania obywateli o zbieraniu dotyczących ich danych, chyba że wpływałoby to ujemnie na prowadzone dochodzenie. Z tym samym zastrzeżeniem dopuszczalne jest udostępnianie policyjnych zbiorów danych innym osobom, w tym dziennikarzom. Nie jest zabronione przekazywanie danych między różnymi jednostkami policji. Według rekomendacji dane oparte na faktach i dane oparte na indywidualnych opiniach i ocenach powinny być przechowywane oddzielnie. Również zbiory danych o osobach posiadających broń, o obcokrajowcach czy listy taksówkarzy powinny być trzymane oddzielnie od zbiorów, które są tworzone do celów walki z przestępczością. Nadto tylko zbiory dnych dotyczące przestępców mogą być łączone.
Rekomendacja 2 (89) w sprawie ochrony danych osobowych wykorzystywanych w związku z zatrudnieniem; dane takie powinny być zasadniczo pozyskiwane bezpośrednio od pracownika lub kandydata do pracy, a w innych przypadkach powinien być on o tym powiadamiany. Bez wyraźnej zgody pracownika nie można zbierać z innych źródeł danych o jego stanie zdrowia. Pracownik może być poddany badaniom lekarskim tylko w celu ustalenia zdolności do wykonywania oznaczonej pracy, na potrzeby medycyny prewencyjnej oraz dla przyznania świadczeń socjalnych. Stosowanie testów i innych podobnych metod oceny charakteru lub osobowości wymaga zawsze zgody badanego, któremu przysługuje przy tym prawo zapoznania się z wynikami. W myśl rekomendacji dane osobowe należy usuwać w sytuacji, gdy oferta pracy stała się nieaktualna.
Rekomendacja 19 (90) w sprawie ochrony danych osobowych wykorzystywanych dla potrzeb płatności oraz innych operacji finansowych; według tej rekomendacji banki i inne instytucje obsługujące obrót płatniczy nie powinny gromadzić czy przetwarzać danych osobowych służących dostarczaniu środków płatności, chyba że jest to niezbędne do realizacji celów, dla których były zbierane. Dane nie powinny być przechowywane przez czas dłuższy, niż to jest konieczne.
Rekomendacja 10 (91) w sprawie przekazywania osobom trzecim danych osobowych będących w dyspozycji instytucji publicznych; zajmuje się ona przede wszystkim kwestią zabezpieczeń chroniących prywatność przy przekazywaniu danych przez instytucje publiczne określając równocześnie cztery okoliczności, które takie przekazywanie usprawiedliwiają: a) przepis specjalnej ustawy, b) upoważnienie wynikające z przepisów o dostępie do informacji urzędowej, c) upoważnienie wynikające z przepisów krajowej ustawy o ochronie danych osobowych, d) zgoda uprawnionego. Rekomendacja w zasadzie sprzeciwia się łączeniu zbiorów, chyba że istnieją w prawie wewnętrznym właściwe gwarancje chroniące interesy osób, których dane dotyczą. Odnosi się także do zagadnienia współpracy instytucji publicznych w sferze wymiany danych oraz przekazywania danych za granicę.
Rekomendacja 4 (95) w sprawie ochrony danych osobowych w dziedzinie usług telekomunikacyjnych, ze szczególnym uwzględnieniem usług telefonicznych; rekomendacja formułuje wiele mających na celu ochronę danych osobowych obowiązków adresowanych do operatorów sieci i dostawców usług telekomunikacyjnych. Odnosi się też do kwestii: a) podsłuchu i przechwytywania informacji przekazywanych w sieciach, b) prowadzenia tą drogą marketingu bezpośredniego, c) zamieszczania danych osobowych w spisach (książkach telefonicznych). W myśl rekomendacji gromadzenie lub przetwarzanie danych osobowych przez użytkowników albo usługodawców jest usprawiedliwione tylko o tyle, o ile służy podłączeniu do sieci, wykonaniu usługi lub realizacji płatności. Jeśli chodzi o telefonię przenośną, abonenci powinni być informowani o ryzyku naruszenia tajemnicy rozmowy, zwłaszcza przy braku szyfrowania przekazu. Należy również zapewnić, by rachunki za korzystanie z tego rodzaju telefonów nie wymagały rejestrowania danych lokalizujących abonenta i jego rozmówcę.
Rekomendacja 1 (95) w sprawie zbierania, przetwarzania, przedstawiania i archiwizacji orzeczeń sądowych w skomputeryzowanych systemach dokumentacji sądowej; wyznacza ona kryteria i sposób selekcji dokumentów znajdujących się w dyspozycji sądów, metody opisania (identyfikacji) takich dokumentów i ich przechowywania.
Rekomendacja 5 (97) w sprawie ochrony danych medycznych; ustala ona główne reguły przetwarzania tego rodzaju danych stanowiąc przy tym, iż wykorzystanie ich do celów innych niż profilaktyka, diagnoza i leczenie (np. śledztwa lub postępowania sądowego) wymaga wyraźnego ustawowego upoważnienia. Przekazywanie danych medycznych za granicę może następować jedynie w celach badań naukowych i wymaga ich uprzedniej anonimizacji.
Rekomendacja 18 (97) w sprawie ochrony danych osobowych gromadzonych i przetwarzanych w celach statystycznych; zawarte w niej zostały wskazówki co do zbierania, przetwarzania i udostępniania danych w tym zakresie, jak i co do uprawnień osób, których dane dotyczą. Dane służące podanym celom powinny być anonimizowane.
Rekomendacja 5 (99) w sprawie ochrony prywatności w internecie (ochrony jednostek w związku ze zbieraniem i przetwarzaniem danych osobowych na autostradach informatycznych); rekomendacja zawiera ostrzeżenia o niebezpieczeństwie naruszenia ochrony danych osobowych w internecie i postuluje stworzenie w obrębie krajów członkowskich odpowiedniego kodeksu etyki.
Rekomendacja 9 (2002) w sprawie ochrony danych osobowych gromadzonych i przetwarzanych w celach ubezpieczeniowych; ustala reguły przetwarzania i ochrony danych uwzględniające specyfikę sektorową tego rodzaju działalności, zasadniczo nie obejmuje jednak problematyki ubezpieczeń społecznych. Wskazuje podstawy dopuszczalności przetwarzania danych, precyzuje cele, w jakich dane mogą być zbierane i wykorzystywane, oraz określa uprawnienia osób, których dane dotyczą.
17.
Poza podanym wyżej wyliczeniem wskazać można jeszcze na pewną ilość "specjalistycznych" rekomendacji związanych z wybranymi aspektami szeroko rozumianej działalności medycznej. Mamy na myśli:
Rekomendację 23 (87) w sprawie systemów informatycznych w szpitalach; zaleca ona tworzenie minimalnych zestawów danych na potrzeby badań epidemiologicznych, klinicznych oraz wymiany międzynarodowej.
Rekomendację 4 (89) w sprawie zbierania danych epidemiologicznych w podstawowej opiece medycznej; wyróżnia ona podstawowe cele, dla których dane mogą być zbierane.
Rekomendację 14 (89) w sprawie etycznych problemów zakażenia wirusem HIV w zakładach służby zdrowia i placówkach społecznych; zajmuje się ona m.in. kwestiami gromadzenia danych i sprawozdawczości w zakresie zachorowań na AIDS, poddawania się testom na stwierdzenie zakażenia wirusem HIV.
Rekomendację 3 (90) w sprawie badań medycznych na istotach ludzkich; nakazuje ona traktować jako poufne wszelkie informacje o charakterze osobistym uzyskane w związku z badaniami medycznymi.
Rekomendację 8 (90) w sprawie napływu nowych technologii do służby zdrowia; zaleca ona dokonywanie oceny takich technologii z perspektywy m.in. zapewnienia poufności danych o pacjentach, dostępności danych dla osób zainteresowanych.
Rekomendację 13 (90) w sprawie prenatalnych genetycznych badań przesiewowych, prenatalnej diagnostyki genetycznej oraz związanego z tym poradnictwa; dane zebrane w czasie takich badań lub poradnictwa mogą być przetwarzane tylko do celów opieki zdrowotnej, diagnostyki, profilaktyki oraz badań związanych ściśle z opieką zdrowotną.
Rekomendację 15 (91) w sprawie współpracy europejskiej w ramach badań epidemiologicznych w dziedzinie zdrowia psychicznego; uwzględniony w niej został m.in. problem poufności danych osobowych pacjentów placówek psychiatrycznych, przy równoczesnym zapewnieniu do nich dostępu w celach badawczych.
Rekomendację 1 (92) w sprawie wykorzystania kwasu dezoksyrybonukleinowego (DNA) w postępowaniu karnym; poświęca ona uwagę kwestii zachowania anonimowości próbek pobranych do analizy DNA oraz wyników analiz. Próbek takich nie powinno się przechowywać po wydaniu prawomocnego orzeczenia, chyba że jest to niezbędne do innych celów.
Rekomendację 3 (92) w sprawie genetycznych badań diagnostycznych i przesiewowych wykonywanych dla celów opieki zdrowotnej; zajmuje się ona m.in. przechowywaniem danych genetycznych w oddzielnych zbiorach - zbiorach danych medycznych oraz rejestrach związanych z oznaczoną chorobą, a także wykorzystywaniem próbek pobranych do celów medycznych lub naukowych z poszanowaniem ochrony danych osobowych i poufności.
18.
Odrębną grupę tworzą rekomendacje Zgromadzenia Parlamentarnego Rady Europy. Zagadnieniom ochrony danych osobowych poświęcone zostały:
Rekomendacja 818 (77) dotycząca sytuacji osób psychicznie chorych; ma ona na uwadze m.in. postępowania z rejestrami byłych pacjentów placówek psychiatrycznych.
Rekomendacja 934 (82) dotycząca inżynierii genetycznej; zawarte zostało w niej skierowane do Komitetu Ministrów zalecenie wypracowania zasad co do przygotowania, przechowywania i dysponowania informacjami genetycznymi odnoszącymi się do poszczególnych osób.
Rekomendacja 1037 (86) "Ochrona danych iwolność informacji"; wskazuje ona na kolizje, jakie mogą występować między wolnością dostępu do informacji a ochroną danych osobowych. Zgromadzenie zwraca się do Komitetu Ekspertów do spraw Ochrony Danych o opracowanie kryteriów i zasad, które pomogłyby te konflikty przezwyciężać.
Rekomendacja 1116 (89) "AIDS aprawa człowieka"; apeluje ona do Komitetu Ekspertów do spraw Ochrony Danych o dokonanie analizy problemów związanych z istnieniem skomputeryzowanych baz danych o nosicielach wirusa HIV oraz wzywa do podejmowania kroków mających na celu zachowanie anonimowości osób zakażonych tym wirusem.
Rekomendacja 1181 (92) w sprawie współdziałania policji oraz ochrony danych osobowych wsektorze policyjnym; chodzi tu głównie o zwalczanie przestępczości międzynarodowej, do którego to celu niezbędne jest wymienianie i przetwarzanie danych osobowych.
Rekomendacja 1210 (93) dotycząca bezpieczeństwa systemów informatycznych wysokiego ryzyka; dotyczy ona systemów wykorzystywanych do kontroli lotów, w elektrowniach atomowych, w nowoczesnych typach broni i innych.
IV.Unia Europejska
1.Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych
1.
Początkowo Unia Europejska nie zajmowała się problemem odrębnej regulacji ochrony danych osobowych. Komisja Europejska postulowała jedynie, by kraje członkowskie ratyfikowały do końca 1982 r. konwencję 108 Rady Europy dotyczącą danych osobowych. Od 1990 r. prowadzone były prace nad odpowiednią dyrektywą. Spowodowała to ranga problematyki ochrony danych osobowych wraz z faktem istnienia w tej mierze znacznych rozbieżności w uregulowaniach prawnych występujących w państwach członkowskich. Ostatecznie doszło do wydania dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych . Termin implementacji tej dyrektywy wyznaczono na 23 października 1998 r. Za zasadnicze cele, których osiągnięciu służyć ma regulacja przewidziana dyrektywą, uznano:
zabezpieczenie jednolitego minimalnego poziomu ochrony prywatności osób fizycznych w związku z przetwarzaniem danych osobowych zawartych w zbiorach danych;
zapewnienie możliwości swobodnego przepływu danych osobowych pomiędzy krajami członkowskimi.
Przyjęto przy tym szerokie rozumienie zarówno pojęcia "dane osobowe" (personal data), obejmując nim wszystkie informacje odnoszące się do oznaczonej lub możliwej do oznaczenia osoby fizycznej, jak i pojęcia "przetwarzanie danych osobowych"; termin processing obejmuje bowiem następujące operacje: wprowadzanie, magazynowanie lub łączenie danych, ich zmienianie, używanie lub komunikowanie, łącznie z transmisją, rozpowszechnianiem, zabezpieczaniem, poprawianiem i usuwaniem.
Nadto trzeba podkreślić, że wprowadzenie ujednoliconej ochrony w omawianym zakresie - jak wskazano także w pkt 3 i 7 preambuły dyrektywy - jest koniecznym warunkiem do zapewnienia swobodnego przepływu towarów, usług i osób pomiędzy krajami Wspólnoty, gdyż przepływ ten wiąże się z koniecznym przekazywaniem danych osobowych.
Spróbujemy obecnie dokonać krótkiej charakterystyki niektórych ważniejszych rozwiązań przyjętych w dyrektywie.
2.Minimum ochrony interesów osoby fizycznej
Dyrektywa wprowadza katalog minimalnych praw służących osobom, co do których zbierane są dane. Naruszenie tych uprawnień - stosownie do postanowień dyrektywy - może być dochodzone na drodze sądowej.
Po pierwsze, w sytuacjach gdy przewidziana jest zgoda osoby na działania dotyczące jej danych uzależniona jest ona od uprzedniego dostarczenia tej osobie oznaczonych w dyrektywie (art. 10 i 11) informacji o administratorze, o zbiorze danych, jego charakterze i celu, a także informacji w sprawie dobrowolności udostępniania danych. Osoby, od których dane osobowe są zbierane, powinny być informowane co najmniej o: przeznaczeniu danego zbioru danych, obligatoryjnym lub dobrowolnym charakterze odpowiedzi na pytania kwestionariusza, konsekwencjach braku odpowiedzi, możliwości wglądu i korekty danych dotyczących danej osoby oraz o odbiorcach i nadzorującym zbiór danych. Co przy tym istotne, dyrektywa zakazuje zasadniczo przetwarzania danych w celu innym niż zostały zebrane i w celu innym niż ten, który towarzyszył zgodzie ze strony osoby, której dane dotyczą.
Po drugie, przetwarzanie danych osobowych pomimo braku zgody osoby, której dane dotyczą, jest dopuszczalne tylko w ściśle określonych sytuacjach (por. art. 7 dyrektywy).
Po trzecie, przepisy zawierają wyraźne postanowienia dotyczące zakazu zbierania w celu automatycznego przetwarzania określonych kategorii informacji, chyba że zainteresowany podmiot wyraził w formie pisemnej zgodę na takie postępowanie (por. art. 8 dyrektywy). Do informacji objętych tym zakazem (tzw. danych sensytywnych, wrażliwych) zaliczono dane dotyczące pochodzenia etnicznego lub rasowego, poglądów politycznych, przekonań religijnych i politycznych, członkostwa w związkach zawodowych oraz informacje dotyczące zdrowia i życia seksualnego. Natomiast jeżeli chodzi o dane dotyczące skazań kryminalnych, to mogą być one gromadzone jedynie w zbiorach danych o charakterze publicznym (por. art. 8 ust. 5 dyrektywy). Dyrektywa upoważnia jednak do uchylenia w drodze ustawowej, z ważnych względów publicznych, zakazu przetwarzania niektórych z wyżej wymienionych, oznaczonych w takiej ustawie, kategorii danych. W ustawie tego rodzaju powinny być także określone: a) osoby, które miałyby dostęp do takich danych, b) środki zabezpieczające przeciwko nadużyciom i dostępowi do takich zbiorów osób nieuprawnionych. Dyrektywa precyzuje poza tym, w jakich przypadkach dopuszczalne jest odstępstwo od zakazu przetwarzania i zbierania danych osobowych bez zgody osoby zainteresowanej. Chodzi m.in. o:
przetwarzanie danych w związku z realizacją przez pracodawcę zobowiązań i uprawnień z prawa pracy,
przetwarzanie danych w istotnym (vital) interesie danego podmiotu lub innej osoby, gdy zainteresowany ze względów fizycznych lub psychicznych nie jest w stanie udzielić zgody,
opracowywanie danych wyraźnie przekazanych przez zainteresowanego do wiadomości publicznej.
Specjalne postanowienia dotyczą także dopuszczalności zbierania danych wrażliwych ze względów medycznych, interesu publicznego oraz w sferze prawa karnego.
Po czwarte, każda osoba, której dane znajdują się w zbiorze danych, ma prawo do informacji o istnieniu takiego zbioru, jego głównych celach oraz adresie prowadzącego dany zbiór (por. art. 12 dyrektywy). Nadto każdy zainteresowany powinien mieć prawo uzyskania w rozsądnym czasie i za umiarkowaną kwotę informacji o tym, czy dane dotyczące jego osoby znajdują się w zbiorze; w razie odpowiedzi pozytywnej przysługiwać mu powinno prawo uzyskania tych danych w formie możliwej do zapoznania się z nimi .
Po piąte, uprawniony może domagać się korekt, usunięcia lub zablokowania tych danych jego dotyczących, które uzyskane zostały z naruszeniem omawianej dyrektywy. Może się również domagać identycznych czynności od osób trzecich, którym takie dane zostały przekazane. Należy tu dodać, iż uprawnienia osoby, której dane te dotyczą, w sprawie dostępu i korekty lub wycofania danych, mogą zostać ustawowo w poszczególnych krajach członkowskich wyłączone lub ograniczone w przypadkach podyktowanych m.in. następującymi względami: bezpieczeństwa narodowego, obrony, postępowania karnego, bezpieczeństwa publicznego, słusznie określonymi najważniejszymi ekonomicznymi lub finansowymi interesami krajów członkowskich lub Wspólnot Europejskich.
Po szóste, zainteresowany może wnieść sprzeciw wobec przetwarzania danych osobowych jego dotyczących, zebranych w warunkach gdy było to niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego lub gdy było to niezbędne do wypełniania usprawiedliwionych celów administratorów danych, jeśli administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazania jego danych osobowych innemu administratorowi danych (por. art. 14 dyrektywy).
3.Odpowiedzialność i sankcje
Postanowienia dyrektywy (art. 23) zawierają zobowiązanie, by w przepisach krajów członkowskich wprowadzić na rzecz osoby, która poniosła szkodę w wyniku jakiegokolwiek przetwarzania danych dokonanego w warunkach naruszających postanowienia referowanej dyrektywy, uprawnienie do domagania się odszkodowania od osoby prowadzącej (odpowiedzialnej za) zbiór danych. Dopuszczalne jest jednak wprowadzenie zwolnienia od takiej odpowiedzialności, gdy wywołana jest ona utratą, zniszczeniem lub dostępem do danych osoby trzeciej bez uprawnienia, jeżeli osoba prowadząca zbiór danych podjęła wszystkie środki ochrony zbioru danych przewidziane w dyrektywie. Nie podano natomiast katalogu postulowanych sankcji, którymi winny być zagrożone w ustawodawstwach krajowych poszczególne czyny naruszające zasady prowadzenia zbiorów danych. Dyrektywa przewiduje, że sankcje ustanowione przez kraje członkowskie powinny skutecznie zniechęcać do naruszania postanowień dyrektywy.
4.Przekazywanie danych osobowych do krajów trzecich
Wśród pierwszoplanowych zagadnień poddanych regulacji na gruncie omawianej dyrektywy znajduje się też kwestia dopuszczalności transferu danych osobowych do krajów trzecich. Znalazło to odbicie przede wszystkim w art. 25 i 26 dyrektywy, w których przewidziano możliwość takiego przekazywania tylko w sytuacji, gdy w danym kraju trzecim (kraju docelowym) jest zapewniony odpowiedni poziom ochrony (adequate level of protection).
Zagadnienie eksportu danych osobowych było przedmiotem badań Directorate General XV i znalazło odbicie w dokumencie "First Orientation on Transfers of Personal Data to Third Countries Possible Ways Forward in Assesing Adequacy", Discussion Document Adopted by the Working Party on June 26 1997 . Biorąc pod uwagę - co zaznaczono w tym materiale - ogromną liczbę transferów danych osobowych z państw Unii do krajów trzecich, nie jest możliwe "jednostkowe" weryfikowanie przesłanki adekwatnej ochrony w tych krajach. Oczywiście nie chodzi o generalne wyłączenia badania poziomu ochrony w jednostkowych przypadkach, lecz raczej o wyznaczenie "kryterium selekcjonującego" sprawy typowe od tych, które takiego badania wymagają. W tym kontekście proponuje się stworzenie tzw. białej listy krajów trzecich, w odniesieniu do których można zakładać, że gwarantują one należytą ochronę. Lista taka nie miałaby charakteru ani ostatecznego, ani też normatywnego. Niemniej jednak, gdyby kilka przebadanych reprezentatywnych przypadków transferu danych osobowych do określonego kraju wskazywało na istnienie tam adekwatnej ochrony, kraj ten mógłby zostać umieszczony na "białej liście". Jak się zaznacza, takie podejście nie eliminuje jednak niebezpieczeństwa istnienia różnego poziomu ochrony w poszczególnych sektorach gospodarczych danego kraju . Poza tym, jeżeli dane państwo nie zostanie zakwalifikowane na "białą listę", nie oznacza to automatycznie umieszczenia go na "czarnej liście", a stanowi jedynie wskazówkę, iż konieczna jest wówczas jednostkowa ocena dopuszczalności konkretnego transferu.
W zakresie omawianej tu problematyki przekazywania danych osobowych za granicę charakter wykonawczy w stosunku do regulacji zawartej w dyrektywie posiadają postanowienia przyjęte w decyzjach Komisji . Nawiązują one do przepisu art. 26 ust. 2 dyrektywy, który to przepis pozwala na przekazywanie danych do krajów nieposiadających "adekwatnej ochrony", o ile administrator wskaże odpowiednie środki służące ochronie prywatności oraz przestrzeganiu fundamentalnych praw i wolności osobistych, a zwłaszcza wynikające z odpowiednich klauzul umownych. Wspomniane decyzje Komisji podają w aneksach i załącznikach klauzule umowne spełniające taką funkcję.
5.
Dyrektywa nie przesądza procedury weryfikowania istnienia należytej (adekwatnej) ochrony danych osobowych. Kraj członkowski może w tym zakresie wprowadzić bezpośrednie obowiązki administratora danych i/lub wprowadzić system
uprzedniego udzielania zezwolenia albo
weryfikacji dokonywanej ex post przez odpowiedni organ nadzorczy.
Uważa się przy tym, że konieczne jest wypracowanie systemu weryfikowanych przez taki organ priorytetów i kryteriów w odniesieniu do przedmiotów transferu. Proponowany system powinien umożliwić swoiste "mierzenie" niebezpieczeństwa udostępniania informacji z perspektywy naruszenia prawa do ochrony danych osobowych jednostki, a w konsekwencji wskazywać na te przypadki przekazywania, które poddawane byłyby w pierwszym rzędzie badaniom co do ich zgodności z wymogiem "adekwatnej ochrony". Uważa się, że do tej grupy powinno należeć przekazywanie:
tzw. danych wrażliwych objętych art. 8 dyrektywy,
danych wiążących się z osobistym bezpieczeństwem,
danych do podejmowania decyzji istotnie dotyczących interesów podmiotu (zatrudnienie, udzielenie kredytu itd.),
danych wiążących się z poważnym ryzykiem dla reputacji jednostki,
danych umożliwiających istotne wkroczenie w sferę życia prywatnego, a także:
stałe transferowanie dużych zbiorów danych (transakcje internetowe, telekomunikacyjne).
6.
Oceniając poziom (adekwatność) ochrony danych osobowych w oznaczonym kraju należy wziąć pod uwagę zarówno przyjęte podstawowe materialnoprawne zasady ochrony, jak i procedurę oraz efektywną możliwość zapewnienia ochrony.
Jeżeli chodzi o analizę materialnoprawnej zawartości ustaw o ochronie danych osobowych w krajach, do których ma nastąpić ich transfer, proponuje się sprawdzenie, czy spełnione są następujące zasady:
ograniczenia wykorzystania danych osobowych tylko do celu, dla którego były gromadzone ,
gromadzenia danych prawdziwych i aktualizowanych oraz relewantnych z punktu widzenia celu gromadzenia lub transferu,
przejrzystości, jawności (transparency principle) zasad i celu gromadzenia danych, a także osoby administratora danych,
należytego zabezpieczenia (technicznego i organizacyjnego) danych osobowych przez administratora,
dostępu zainteresowanego do danych osobowych jego dotyczących wraz z uprawnieniem tej osoby do żądania poprawienia danych niepełnych lub błędnych, a nawet w pewnych sytuacjach ich usunięcia,
ograniczenia dalszego transferowania przekazanych danych do innych krajów.
Nadto:
w odniesieniu do danych wrażliwych powinny być stosowane dodatkowe czynniki zabezpieczające, jak na przykład wyraźna zgoda podmiotu na dalsze przetwarzanie tych danych,
w przypadku przekazywania zbiorów danych osobowych na potrzeby marketingu bezpośredniego każdy zainteresowany podmiot powinien mieć prawo wycofania danych jego dotyczących z tego rodzaju eksploatacji,
w przypadku automatycznego podejmowania decyzji w sprawie transferu danych osobowych każdy podmiot, którego dotyczą przekazywane dane, powinien być uprawniony do poznania zasad podejmowania tego rodzaju decyzji.
Z kolei jeżeli chodzi o aspekty proceduralne i wykonawcze istotne dla stwierdzania istnienia adekwatności ochrony, sugeruje się badanie:
zgodności praktyki w danym kraju z obowiązującymi w tej mierze zasadami ,
istnienia efektywnych form pomocy dla podmiotów, których zbiory danych dotyczą, w szybkim i efektywnym dochodzeniu przez nich praw oraz
zapewnienia właściwego systemu naprawiania szkody w przypadku naruszenia reguł ochrony danych osobowych w danym kraju.
7.
Rozważana jest poza tym kwestia, w jakim stopniu dozwolone jest domniemanie istnienia należytej (adekwatnej) ochrony w krajach, które są członkami konwencji 108 Rady Europy . Przyjmuje się, że kraje, które ratyfikowały tę konwencję, spełniają wspomniany wymóg, o ile nadto posiadają tego rodzaju własny instytucjonalny mechanizm, jakim jest niezależny organ nadzorczy wyposażony w stosowne uprawnienia w zakresie ochrony danych osobowych, a przy tym kraj ten jest ostatecznym miejscem przeznaczenia przekazywanych baz danych osobowych, a nie krajem, z którego ma zostać dokonany dalszy ich transfer.
8.
Zgodnie z art. 25 ust. 6 dyrektywy, na podstawie oceny prawa wewnętrznego danego kraju trzeciego lub jego zobowiązań międzynarodowych, Komisja może stwierdzić, że kraj ten zapewnia poziom ochrony danych adekwatny do poziomu przewidzianego w dyrektywie. Efektem wydania przez Komisję takiej decyzji jest dopuszczalność przekazywania danych osobowych z krajów członkowskich do danego kraju trzeciego, bez konieczności zapewnienia dodatkowej ochrony .
9.Organizacja i nadzór
Dyrektywa przewiduje powołanie:
Krajowych Organów Nadzorczych; zadaniem takich organów, tworzonych w każdym kraju członkowskim, byłoby "monitorowanie" wykonywania dyrektywy oraz innych kompetencji przewidzianych dla nich w dyrektywie;
Grupy Roboczej (Stałego Komitetu) do spraw Ochrony Danych Osobowych (Working Party on the Protection of Individuals with regard to the Processing of Personal Data); jest ona tworzona z przedstawicieli Krajowych Organów Nadzorczych i przedstawiciela Komisji, a jej celem jest przyczynianie się do jednolitego stosowania dyrektywy w krajach członkowskich, opiniowanie w sprawie istniejącego poziomu ochrony danych osobowych w różnych krajach i udzielanie opinii dla Komisji UE w sprawie nowych unijnych aktów normatywnych z zakresu ochrony prywatności ;
Komitetu Doradczego, złożonego z przedstawicieli krajów członkowskich; zadaniem tego organu byłoby przygotowanie opinii i projektów nowych aktów normatywnych z zakresu objętego dyrektywą.
2.Orzecznictwo Europejskiego Trybunału Sprawiedliwości
10.
Przepisy dyrektywy 95/46/WE oraz ich implementacja budzą niekiedy uzasadnione wątpliwości i stwarzają problemy w praktyce. Niektóre spośród tych wątpliwości rozstrzygane są przez Europejski Trybunał Sprawiedliwości w trybie art. 234 traktatu ustanawiającego Wspólnotę Europejską, w drodze odpowiedzi na pytania prawne, formułowane przez sądy państw członkowskich. Orzeczenia prejudycjalne ETS są wprawdzie wiążące jedynie w danej sprawie, niemniej wywierają one istotny wpływ na interpretację norm prawa wspólnotowego. Warto pokrótce przedstawić orzeczenia odnoszące się do kwestii uregulowanych we wskazanej powyżej dyrektywie.
11.
Interpretacja istotnych postanowień dyrektywy 95/46/WE została dokonana w orzeczeniu Trybunału z 20 maja 2003 r. Sprawa dotyczyła ujawniania danych o dochodach pracowników instytucji publicznych . Do Europejskiego Trybunału Sprawiedliwości zwróciły się austriacki Trybunał Konstytucyjny (Verfassungsgerichtshof) oraz Sąd Najwyższy (Oberste Gerichtshof), w związku ze sporem prawnym pomiędzy Najwyższą Izbą Kontroli (Rechnungshof) i podmiotami podlegającymi kontroli tej Izby. Spór dotyczył interpretacji przepisu nakładającego na podmioty kontrolowane zobowiązanie do przekazywania Izbie danych dotyczących wypłaconych wynagrodzeń i emerytur, które przekraczają określone kwoty (łącznie z nazwiskami osób, które te świadczenia otrzymały), a także ujawniania tych informacji w sprawozdaniu rocznym, przekazywanym m.in. wyższej i niższej izbie parlamentu (Nationalrat, Bundesrat), a także udostępnianym publicznie. Z założenia przekazywanie tych informacji miało na celu umożliwienie kontroli prawidłowości wydatkowania środków publicznych. Podmioty zobowiązane do przekazywania informacji kwestionowały zgodność wewnętrznych przepisów prawnych (które zresztą sformułowane były w sposób dość ogólny) z postanowieniami dyrektywy 95/46/WE, wskazując iż przekazywanie oraz publikowanie w powszechnie dostępnych rocznych sprawozdaniach informacji o dochodach osób fizycznych stanowi niedopuszczalną ingerencję w sferę życia prywatnego. Austriacki Trybunał Konstytucyjny oraz Sąd Najwyższy skierowały do Europejskiego Trybunału Sprawiedliwości dwa pytania: czy przepisy prawa wspólnotowego, w szczególności dotyczące ochrony danych osobowych, powinny być interpretowane jako zakazujące organom państwa zbierania i przekazywania danych o dochodach oraz publikowania nazwisk i wysokości dochodów pracowników różnych instytucji sektora publicznego, a jeśli tak, to czy przepisy wspólnotowe mają bezpośrednie zastosowanie.
Odpowiadając na pierwsze z postawionych pytań Trybunał stwierdził, że przepisy art. 6 ust. 1 lit. c) oraz art. 7 lit. c) i e) dyrektywy 95/46/WE nie sprzeciwiają się krajowym przepisom prawnym, takim jak przepis, do którego odnosiło się postępowanie. Jednakże, zdaniem Trybunału, warunkiem zgodności przepisów krajowych dotyczących ujawniania wysokości rocznych dochodów, a także ujawniania nazwisk osób otrzymujących te dochody, z przepisami dyrektywy 95/46/WE jest wykazanie, że jest to niezbędne i stosowne do założonego przez ustawodawcę celu, jakim jest prawidłowe zarządzanie środkami publicznymi. Ocena tego, zdaniem Europejskiego Trybunału Sprawiedliwości, należy do sądów krajowych. Udzielając odpowiedzi na drugie pytanie, ETS uznał, iż wskazane powyżej przepisy dyrektywy mają bezpośrednie zastosowanie w tym sensie, że jednostka może się na nie powoływać przed sądem krajowym, aby uniemożliwić stosowanie sprzecznych z nimi przepisów prawa krajowego.
Przedstawione powyżej orzeczenie potwierdza, iż możliwe jest wprowadzanie do wewnętrznych ustawodawstw krajowych różnego rodzaju ograniczeń prawa do ochrony danych osobowych, pod warunkiem że ograniczenia te będą wprowadzane ustawowo, a także będą niezbędne do realizacji celów wskazanych w art. 13 dyrektywy 95/46/WE. Niewątpliwie istotne dla interpretacji przepisów dyrektywy jest również stwierdzenie możności bezpośredniego jej stosowania (a przez to - bezpośredniego skutku norm prawa wspólnotowego).
12.
Na uwagę zasługuje także orzeczenie Europejskiego Trybunału Sprawiedliwości z 6 listopada 2003 r. dotyczące przetwarzania danych osobowych w internecie , zawierające interpretację kilku istotnych kwestii uregulowanych w dyrektywie 95/46/WE. Sprawa dotyczy obywatelki Szwecji Bodil Lindqvist, katechetki, która opublikowała na swojej stronie internetowej dane dotyczące kilkunastu kolegów pracujących w parafii, po to aby ułatwić parafianom dostęp do tych informacji. Na wspomnianej stronie internetowej znalazły się imiona, a w odniesieniu do niektórych osób także nazwiska, numery telefonów, opisy prac wykonywanych przez poszczególne osoby, ich stosunków rodzinnych oraz zainteresowań, przedstawione w żartobliwej formie. Na stronie internetowej znalazła się także informacja o tym, że jedna z osób doznała urazu nogi i w związku z tym zatrudniona jest w niepełnym wymiarze czasu pracy. Pani Lindqvist nie spytała swoich kolegów o zgodę na umieszczenie tych informacji w internecie ani nawet nie poinformowała ich o tym fakcie, a także nie zgłosiła tego do Datainspektion (szwedzki organ właściwy w sprawach ochrony danych). Bodil Lindqvist została skazana na karę grzywny w wysokości 4 tys. koron szwedzkich (ok. 450 euro) za to, że: przetwarzała dane osobowe w sposób automatyczny bez uprzedniego pisemnego zgłoszenia tego faktu do Datainspektion, co stanowi naruszenie art. 36 szwedzkiej ustawy o ochronie danych osobowych (Personuppgiftslag, dalej: PUL); przetwarzała "wrażliwe" dane osobowe (dotyczące urazu nogi i w związku z tym pracy na niepełny etat) bez zgody osoby, której dane dotyczą - naruszenie art. 13 PUL; przekazywała dane osobowe do państwa trzeciego bez wymaganej zgody - naruszenie art. 33 PUL. Od tego wyroku pani Lindqvist odwołała się do sądu wyższej instancji (Göta hovrätt), który rozpatrując sprawę, zwrócił się do ETS, formułując kilka pytań prawnych dotyczących wątpliwości interpretacyjnych zaistniałych w tej sprawie, na gruncie prawa wspólnotowego, w szczególności dyrektywy 95/46/WE.
Europejski Trybunał Sprawiedliwości w wydanym orzeczeniu stwierdził, że:
umieszczenie na stronie internetowej informacji umożliwiających identyfikację osób poprzez podanie ich nazwisk albo innych danych (imion, numerów telefonów oraz danych o zatrudnieniu czy hobby) stanowi przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany, w rozumieniu art. 3 ust. 1 dyrektywy 95/46/WE;
tego rodzaju przetwarzanie danych osobowych nie jest objęte wyłączeniem przewidzianym w art. 3 ust. 2 dyrektywy;
informacja, iż osoba doznała urazu nogi i w związku z tym zatrudniona jest w niepełnym wymiarze, stanowi dane dotyczące stanu zdrowia w rozumieniu art. 8 ust. 1 dyrektywy;
nie zachodzi przekazywanie danych do kraju trzeciego w rozumieniu art. 25 dyrektywy, w sytuacji gdy osoba przebywająca w państwie członkowskim umieszcza dane osobowe na stronie internetowej, która jest przechowywana na serwerze osoby fizycznej lub prawnej, utrzymującej serwis internetowy w tym państwie albo w innym kraju członkowskim, z którego to serwisu strona ta może być wywoływana, a przez to dane osobowe stają się dostępne dla każdego, kto połączy się z internetem, włącznie z osobami w krajach trzecich;
postanowienia dyrektywy 95/46/WE jako takie nie zawierają żadnych ograniczeń, które sprzeciwiałyby się wolności słowa ani innym prawom i wolnościom obowiązującym w Unii Europejskiej; zadaniem narodowych władz i sądów, odpowiedzialnych za stosowanie narodowych regulacji implementujących dyrektywę, jest zapewnienie stosownej równowagi pomiędzy tymi prawami i wolnościami;
podjęte przez państwa członkowskie środki, służące zapewnieniu ochrony danych osobowych, powinny być zgodne zarówno z postanowieniami dyrektywy 95/46/WE, jak również z jej celem, którym jest zapewnienie równowagi pomiędzy swobodnym przepływem danych osobowych a ochroną życia prywatnego; jednakże nic nie stoi na przeszkodzie, by państwa członkowskie rozszerzyły zakres narodowego ustawodawstwa implementującego postanowienia dyrektywy na obszary niezawarte w zakresie jej obowiązywania, o ile inne postanowienia prawa wspólnotowego tego nie wykluczają.
Na szczególne podkreślenie zasługuje ta część wyroku, która odnosi się do przekazywania danych do państwa trzeciego. Ten fragment orzeczenia (zawierający dość obszerne uzasadnienie) będzie miał niewątpliwie istotny wpływ na interpretację postanowień dyrektywy 95/46/WE w kontekście przetwarzania danych osobowych w sieci internet.
13.
Warto odnotować także wyrok Europejskiego Trybunału Sprawiedliwości z dnia 30 maja 2006 r. dotyczący problematyki przekazywania danych osobowych przez przewoźników lotniczych z państw członkowskich do Stanów Zjednoczonych Ameryki Północnej.
Stan faktyczny będący podstawą orzeczenia przedstawiał się następująco: w związku z atakami terrorystycznymi z 11 września 2001 r. Stany Zjednoczone wydały przepisy zobowiązujące przewoźników lotniczych realizujących połączenia do lub ze Stanów Zjednoczonych do zapewnienia organom celnym USA elektronicznego dostępu do danych zawartych w ich automatycznych systemach rezerwacji i kontroli wylotów, określanych jako "Passenger Name Record". Komisja Europejska poinformowała władze USA, że przepisy te mogą być niezgodne z obowiązującymi w UE normami odnoszącymi się do ochrony danych osobowych i podjęte zostały negocjacje, w wyniku których Ministerstwo Bezpieczeństwa Wewnętrznego Biuro Celne i Ochrony Granic USA przyjęło na siebie określone zobowiązania w zakresie ochrony danych. Dnia 14 maja 2004 r. Komisja wydała decyzję 2004/535/WE w sprawie odpowiedniej ochrony danych osobowych zawartych w Passenger Name Record (PNR) pasażerów lotniczych przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych (Official Journal L 235 z 06.07.2004, s. 11), a 17 maja 2004 r. Rada wydała decyzję 2004/496/WE w sprawie zawarcia porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dotyczących Passenger Name Record przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic (Official Journal L 183 z 20.05.2004, s. 83). Obie decyzje zostały zaskarżone przez Parlament do Trybunału jako niezgodne z prawem.
Europejski Trybunał Sprawiedliwości stwierdził nieważność obu wskazanych powyżej decyzji uznając, iż decyzja dotycząca odpowiedniej ochrony nie wchodzi w zakres regulacji dyrektywy 95/46/WE, jako że przekazywanie danych następuje w ramach ustanowionych przez władze publiczne, mających na celu ochronę bezpieczeństwa publicznego, a więc zachodzi wyłączenie z art. 3 ust. 2 tiret pierwsze dyrektywy, natomiast w odniesieniu do decyzji dotyczącej zawartego porozumienia, Trybunał uznał, że została ona wydana w oparciu o niewłaściwą podstawę prawną. ETS utrzymał jednak w mocy skutki decyzji o odpowiedniej ochronie do dnia 30 września 2006 r., dając tym samym czas na uregulowanie tych kwestii w sposób zgodny z prawem. Warto na marginesie wspomnieć, iż obecnie trwają prace nad projektem decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych , która to decyzja odnosić się ma m.in. do kwestii przekazywania danych do odpowiednich organów w państwach trzecich.
3.Dyrektywa Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. (2002/58/WE) w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej
14.
Specyfika gromadzenia, przesyłania i posługiwania się danymi osobowymi w związku ze świadczeniem oraz korzystaniem z usług telekomunikacyjnych, a także pojawiające się na tym obszarze zagrożenia dla szeroko rozumianej prywatności, ujawniające się zwłaszcza w świetle integrowania się sieci przesyłu informacji, stały się powodem wydania "specjalistycznej" dyrektywy z dnia 15 grudnia 1997 r. (97/66/WE) w sprawie przetwarzania danych osobowych i ochrony prywatności w dziedzinie telekomunikacji. Gwałtowny rozwój techniczny w tym obszarze oraz potrzeba uwzględnienia go w regulacjach prawnych doprowadziły do zastąpienia tego aktu nową dyrektywą z dnia 12 lipca 2002 r. (2002/58/WE) w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej, która została częściowo zmieniona dyrektywą z 15 marca 2006 r. (2006/24/WE). W tym miejscu jedynie sygnalizujemy te akty prawne, zostaną one omówione w części poświęconej zagadnieniom szczególnym (pkt E.VII).
4.Konwencja z Schengen
Uwagi wstępne
15.
Niezależnie od omówionej wyżej dyrektywy, problem przetwarzania danych osobowych pojawił się jeszcze w odrębnych, można powiedzieć "specjalistycznych" porozumieniach. Wymienić trzeba tu zwłaszcza konwencję (porozumienie) zawartą 14 czerwca 1985 r. w Schengen, poświęconą znoszeniu kontroli granicznej między państwami Wspólnoty Europejskiej. Na jej podstawie zawarte zostało w 1990 r. między Francją, Włochami, Niemcami, Holandią, Belgią, Luksemburgiem, Hiszpanią i Portugalią porozumienie wykonawcze powołujące do życia m.in. System Informacyjny Schengen (SIS) służący wymianie informacji na temat osób przekraczających granice tych państw. Podstawowym celem jest zneutralizowanie skutków zniesienia kontroli granicznej pomiędzy krajami, które przystąpiły do konwencji, oraz skoncentrowanie tej ochrony na zewnętrznych granicach "terytorium Schengen".
Porozumienie zawiera rozbudowane postanowienia dotyczące zasad gromadzenia i rozpowszechniania danych osobowych. Schengen Information System jest skomputeryzowanym systemem informacyjnym przeznaczonym do kontroli granicznej, celnej i policyjnej.
Omawiana konwencja nie jest wprawdzie aktem prawnym Unii Europejskiej, niemniej jednak przystąpienie do tej konwencji większości krajów członkowskich Unii, a prawdopodobnie w nieodległej perspektywie również Polski, skłania do uwzględnienia jej w tej części uwag wstępnych.
Trzeba przy tym podkreślić, iż celem charakteryzowanej konwencji nie jest harmonizacja zasad ochrony danych osobowych w krajach członkowskich. Problem ten regulować powinna wcześniej omówiona dyrektywa Unii. Niewątpliwie jednak przystąpienie do tej konwencji i efektywna wymiana informacji nie będzie możliwa w przypadku kraju, w którym istnieje znacząco niższy poziom ochrony danych osobowych. Można bowiem przypuszczać, że kraje z zaawansowaną ochroną w tym zakresie nie wyrażą zgody na przekazanie "swoich danych osobowych" do krajów, w których ochrona tych danych nie jest odpowiednio zabezpieczona.
Podstawowe zasady Schengeńskiego Systemu Informacyjnego (SIS)
16.
Schengeński System Informacyjny w istocie składa się z wielu krajowych systemów informacyjnych, które są jednak wzajemnie dostępne. Zbiór danych osobowych danego kraju może być modyfikowany i uzupełniany jedynie przez odpowiedni organ danego kraju. Nadto informacje osobowe z SIS mogą być wykorzystane przez władze innego kraju niż ten, który dane wprowadził, w zasadzie wyłącznie do celów określonych w raporcie zawierającym te informacje. Wyżej wymienione zasady konstytuują tzw. zasadę "krajowej własności" poszczególnych baz danych.
Podstawowym celem SIS jest pomoc policji i organom celnym krajów Schengen. W szczególności wykorzystując system SIS można będzie uzyskać natychmiastową informację, czy dana osoba znajduje się w banku SIS i jaką akcję należy w stosunku do niej podjąć.
Dostęp do danych systemu SIS przysługuje wyłącznie organom wykonującym kontrolę graniczną, organom celnym i policji. Nadto w ograniczonym zakresie przysługuje także organom wydającym wizy do danego kraju.
Dane osobowe utrzymywane są w SIS jedynie przez okres niezbędny do zrealizowania celu, dla którego zostały wprowadzone. Po upływie 3 lat od ich wprowadzenia są one automatycznie usuwane z SIS, chyba że dany kraj wskaże na celowość prolongaty tego terminu.
Zawartość SIS
17.
Do SIS wprowadzane są dane dotyczące osób, pojazdów i innych obiektów (np. skradzionych dokumentów, podrobionych banknotów). Dane dotyczące osoby mogą zawierać co najwyżej następujące informacje:
imię i nazwisko,
szczególne i widoczne cechy fizyczne,
pierwszą literę drugiego imienia,
datę i miejsce urodzenia,
płeć,
narodowość,
informację w sprawie możliwości posiadania broni lub "gwałtownego" charakteru,
przyczynę sporządzenia raportu dotyczącego oznaczonej osoby,
czynności, jakie powinny być podjęte w stosunku do danej osoby.
Systemem SIS objęte może zostać jedynie pięć kategorii osób:
osoby, które należy aresztować w celu ich ekstradycji,
obcokrajowcy, którym odmówiono prawa przekroczenia granicy,
osoby zaginione lub osoby, których umieszczenie w bezpiecznym miejscu jest celowe w ich własnym interesie,
świadkowie lub inne osoby wezwane do stawienia się przed sądem w związku z sądowym postępowaniem karnym,
osoby inwigilowane.
Równocześnie w każdym raporcie dotyczącym danej osoby w systemie SIS określone jest działanie, które w odniesieniu do tej osoby powinno zostać podjęte.
Ochrona danych osobowych
18.
Każda osoba może domagać się:
informacji w każdym kraju grupy Schengen, czy dane jej dotyczące znajdują się w systemie SIS; zagadnienia proceduralne w tej mierze reguluje prawo wewnętrzne kraju, w którym dochodzi się tej informacji;
dostępu do danych jej dotyczących zawartych w systemie SIS na warunkach określonych w ustawie o ochronie danych osobowych danego kraju;
sprostowania lub usunięcia danych nieprawdziwych lub wprowadzonych niezgodnie z zasadami konwencji;
wnieść powództwo do sądu lub odpowiedniego organu nadzorczego w sprawie sprostowania lub usunięcia informacji jej dotyczących oraz o odszkodowanie w związku z wprowadzonym do SIS raportem na jej temat.
Wymiana danych osobowych nieobjętych SIS
19.
Konwencja reguluje także możliwość wymiany danych osobowych pomiędzy krajami członkowskimi w odniesieniu do:
udzielania azylu,
międzynarodowej współpracy policji,
wzajemnego udostępniania danych osobowych w związku z postępowaniem karnym.
5.Rezolucje Parlamentu Europejskiego
20.
Niektóre aspekty przetwarzania i ochrony danych osobowych poruszone zostały także w rezolucjach Parlamentu Europejskiego. W grę wchodzą rezolucje dotyczące Karty Praw Pacjenta oraz zajmujące się problemami inżynierii genetycznej, a także rezolucja (z 1984 r.) poświęcona konsekwencjom nowych technologii dla społeczeństwa europejskiego. W tym ostatnim przypadku zwrócono uwagę przede wszystkim na zagrożenia w sferze prywatności, jakie przyniosły ze sobą technologie informatyczne i telekomunikacyjne. Spowodowały one gwałtowny wzrost ilości dostępnych informacji przy równoczesnym zmniejszeniu kontroli nad nimi.
6.Karta Praw Podstawowych Unii Europejskiej
21.
Problematyka ochrony danych osobowych w Unii Europejskiej z biegiem lat uzyskuje coraz większe znaczenie. Charakterystycznym wyrazem tej tendencji jest zaliczenie tej ochrony do podstawowych praw człowieka w Karcie Praw Podstawowych Unii Europejskiej . Artykuł 8 tej Karty przewiduje, że: "1. Każdy ma prawo do ochrony swoich danych osobowych. 2. Takie dane mogą być przetwarzane tylko w sposób rzetelny (fairly) dla oznaczonych celów na podstawie zgody osoby zainteresowanej lub w uzasadnionych przypadkach określonych przez prawo. Każda osoba ma prawo do uzyskania informacji o zebranych o niej danych oraz do ich sprostowania. 3. Przestrzeganie tych reguł poddane jest kontroli niezależnego organu".
7.Ochrona danych osobowych w instytucjach Unii Europejskiej
22.
Odrębnej regulacji prawnej poddana została tematyka ochrony danych osobowych przetwarzanych przez instytucje i organy wspólnotowe. Podstawowe znaczenie w tym zakresie mają: rozporządzenie 2001/45/WE Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Official Journal L 8 z 12.01.2001, s. 1) oraz decyzja Rady 2004/644/WE z dnia 13 września 2004 r. ustanawiająca reguły wykonawcze dotyczące wskazanego powyżej rozporządzenia (Official Journal L 296 z 21.09.2004, s. 16). Wspomniane akty prawne stanowią konkretyzację i uszczegółowienie dyrektyw odnoszących się do ochrony danych (zarówno dyrektywy ogólnej jak i dyrektywy telekomunikacyjnej), uwzględniają specyfikę przetwarzania danych przez instytucje oraz organy wspólnotowe. Oprócz przepisów natury ogólnej, odnoszących się m.in. do zasad i podstaw dopuszczalności przetwarzania danych przez wspomniane instytucje i organy, rozporządzenie oraz decyzja zawierają szereg postanowień odnoszących się do kwestii szczegółowych m.in. przekazywania danych zarówno w stosunkach wewnętrznych jak i zewnętrznych, wstępnej kontroli przetwarzania danych, ochrony danych w kontekście wewnętrznych sieci telekomunikacyjnych i innych istotnych zagadnień.
Na szczególną uwagę zasługuje także utworzenie, na mocy przepisów wskazanego powyżej rozporządzenia, niezależnego organu nadzorczego - Europejskiego Inspektora Ochrony Danych (European Data Protection Supervisor - EDPS). Do zadań Europejskiego Inspektora należy m.in. monitorowanie i zapewnienie stosowania wspólnotowych przepisów o ochronie danych osobowych (w szczególności rozporządzenia WE 45/2001), doradzanie instytucjom i organom wspólnotowym oraz osobom, których dane dotyczą, w sprawach związanych z przetwarzaniem danych, a także współpraca z narodowymi organami ochrony danych i instytucjami nadzorczymi z tzw. trzeciego filara UE. Pierwszy Europejski Inspektor został powołany na pięcioletnią kadencję przez Parlament Europejski i Radę decyzją, która weszła w życie 17 stycznia 2004 r.
V.OECD
Wytyczne Organizacji Współpracy Gospodarczej i Rozwoju (OECD)
Uwagi ogólne
1.
Dnia 23 września 1980 r. Europejska Organizacja Współpracy Gospodarczej i Rozwoju (OECD) wydała związane z omawianą tematyką wytyczne, których przedmiotem jest regulacja kwestii ochrony prywatności oraz przepływu danych osobowych pomiędzy krajami . Zostały one przyjęte między innymi przez USA, a w 1999 r. potwierdzone na konferencji OECD w Ottawie poświęconej zagadnieniom handlu elektronicznego.
Wytyczne mają charakter prawny zaleceń Rady OECD i nie są w związku z tym dla krajów członkowskich wiążące, jak i nie nakładają obowiązku implementacji do prawa wewnętrznego określonych rozwiązań . Niemniej kraj przystępujący do wytycznych (podpisujący je) daje wyraz swemu zamiarowi stosowania wytycznych oraz uwzględnienia ich w wewnętrznym ustawodawstwie. Rozdział 4 wytycznych poświęcony jest ich wprowadzaniu w państwach członkowskich i wzywa do wprowadzenia instytucji prawnych oraz prawnych i administracyjnych procedur mających służyć ochronie prywatności i wolności indywidualnych.
Jak pokazuje analiza postanowień wytycznych, proponują one w dużej części rozstrzygnięcia podobne do tych, które występują w omówionej powyżej konwencji Rady Europy, aczkolwiek w niektórych kwestiach oba te akty przyjmują różne regulacje.
O ile konwencja zajmując się ochroną danych osobowych nacisk kładzie przede wszystkim na zagadnienie ochrony prywatności, o tyle wytyczne OECD w preambule stwierdzają, że przekazywanie danych pomiędzy krajami stanowi czynnik przyczyniający się do ich socjalnego i gospodarczego rozwoju; zwraca się też uwagę na rozwój handlu światowego, którego istotnym warunkiem jest swoboda międzynarodowego przepływu danych (transborder data flows). Wytyczne dopuszczają ograniczenie w przepisach wewnętrznych swobody eksportu i importu danych, niemniej zaznaczają, że tworzenie w ten sposób nieusprawiedliwionych przeszkód dla gospodarczych i socjalnych stosunków między krajami członkowskimi powinno być eliminowane. Można by powiedzieć, że w tym stanie rzeczy ochrona danych osobowych jawi się poniekąd jako przejaw ogólnego, złożonego konfliktu interesów społecznych (publicznych) i interesów indywidualnych.
Cel i zakres wytycznych
2.
Rozdział pierwszy wytycznych, wprowadzając definicje niektórych używanych terminów, wyznacza też zakres ich stosowania. "Dane osobowe" są rozumiane jako wszelkie informacje o określonych lub dających się zidentyfikować osobach fizycznych, z tym że krajom podpisującym pozostawiono możliwość rozszerzenia kręgu podmiotowego również na grupy osób i organizacje. Nie wprowadzono przy tym, po długiej dyskusji, zawężenia zakresu działania wytycznych do takich tylko zbiorów danych, które są skomputeryzowane i posługują się procesami zautomatyzowanymi .
Autorzy wytycznych wprowadzili doniosłą zasadę, według której przedmiot regulacji stanowić mają wszelkie, występujące w sektorze publicznym i prywatnym, przypadki przetwarzania danych, które ze względu na swój charakter lub naturę albo ze względu na wzajemne powiązania eksploatacyjne niosą niebezpieczeństwo ingerencji w sferę prywatności jednostki i jej podstawowe wolności. Przyjmując że jednym z ważnych celów, jakiemu służyć mają wytyczne, jest właśnie ochrona tej sfery, nie można pominąć faktu, iż jest ona zagrożona również w przypadku tzw. manualnego przetwarzania danych. Krajom członkowskim pozostawiono wybór, czy przepisy wewnętrzne ograniczać się mają do przypadków automatycznego przetwarzania danych, czy też obejmować będą również przetwarzanie manualne. Poza tym, chcąc jednak ułatwić krajom członkowskim przystępowanie do wytycznych oraz mając na uwadze istniejące różnice poglądów, wytyczne uwzględniły możliwość przewidzenia w konkretnych przypadkach odstępstwa od określonych zasad w nich statuowanych. I tak na przykład regulacja krajowa może być ograniczona do automatycznego przetwarzania danych, może wprowadzać odmienne standardy ochrony dla różnych kategorii danych, może nie znajdować zastosowania do tych danych, które oczywiście nie niosą ze sobą żadnych niebezpieczeństw w sferze praw osobistych (w wyjaśnieniach użyto zwrotu: trivial cases of collection and use of personal data) . Ta znaczna ilość fakultatywnych możliwości ograniczenia regulacji stawia - zdaniem niektórych - pod znakiem zapytania osiągnięcie celu harmonizacyjnego poprzez omawiane wytyczne.
Zasady dotyczące przetwarzania danych. Minimum ochrony
3.
Sformułowane w rozdziale 2 wytycznych podstawowe, częściowo się krzyżujące zasady odnoszące się do poszczególnych faz przetwarzania danych osobowych należy traktować jako pewną całość; powinny one być inkorporowane do prawa wewnętrznego po to, aby ujednolicić rozwiązania legislacyjne oraz praktykę występującą w poszczególnych krajach oraz aby na płaszczyźnie międzynarodowej stworzyć na tym polu pewne minimum ochrony. W szczególności wytyczne wprowadzają:
zasadę ograniczenia zbierania danych osobowych z zastrzeżeniem uzyskiwania ich środkami zgodnymi z prawem i dobrymi obyczajami oraz - zależnie od możliwości - za wiedzą lub zgodą osób, których dane dotyczą (collection limitation principle).
Wytyczne przyjmują także:
zasadę jakości danych, nakazującą badać, na ile, ze względu na cel, któremu służyć ma zbiór, określone dane są konieczne i istotne, a także merytorycznie prawidłowe, autentyczne oraz kompletne (data quality principle) ;
zasadę podania celu przetwarzania danych; cel ten powinien zostać przez osobę odpowiedzialną za przetwarzanie danych szczegółowo ujawniony najpóźniej przy zbieraniu danych (purpose specification principle) ;
zasadę eksploatowania danych jedynie w granicach podanych celów, chyba że uzyskana zostanie zgoda zainteresowanych lub istnieć będzie upoważnienie ustawowe (use limitation principle);
zasadę transparentności, ułatwiającą skutecznie realizować roszczenia osób, których dane dotyczą, a której służyć mają środki pozwalające w możliwie łatwy sposób:
stwierdzić występowanie (obecność) danych osobowych,
ustalić główny cel i charakter ich eksploatacji,
identyfikować i "lokalizować" podmiot odpowiedzialny za przetwarzanie danych (openess principle);
zasadę wprowadzenia odpowiednich przedsięwzięć zabezpieczających, których celem jest ograniczenie niebezpieczeństwa utraty danych, nieuprawnionego dostępu, zniszczenia, eksploatacji, zamiany lub odtworzenia (security safeguards principle);
zasadę indywidualnego uczestnictwa, która uprawnia każdego do dostępu (w odpowiednim czasie, w odpowiedni sposób, w odpowiedniej formie i bez nadmiernych kosztów) do dotyczących go danych, informacji o nich, korygowania i usuwania danych w określonych przypadkach (individual participation principle);
zasadę odpowiedzialności podmiotu prowadzącego przetwarzanie danych za przestrzeganie powyższych reguł (zasad) (accountability principle).
Przekazywanie danych osobowych pomiędzy krajami
4.
Problemowi przekazywania danych pomiędzy krajami poświęcony jest w całości rozdział 3 wytycznych zatytułowany "Free Flow and Legitimate Restrictions". Przyjęte w nim rozwiązania stanowią próbę pogodzenia przeciwstawnych interesów: swobody przepływu danych osobowych i ochrony sfery prywatności.
Postanowienia wytycznych nakazują krajom członkowskim OECD brać pod uwagę skutki, jakie wywołuje prowadzone w jednym kraju przetwarzanie danych osobowych i ich reeksport dla innych krajów. Zastrzeżenie to skierowane jest przeciw liberalnej polityce sprzeciwiającej się duchowi wytycznych i ułatwiającej naruszanie i obchodzenie przepisów o ochronie danych osobowych wydanych w krajach członkowskich. Przy wydawaniu i stosowaniu tego rodzaju przepisów kraje członkowskie powinny uwzględniać specyficzne interesy związane z zagranicznymi danymi i informacjami o osobach posiadających obce obywatelstwo. Przepisy krajowe dotyczące reeksportu powinny zapewnić, że dane nie zostaną pozbawione ochrony poprzez transfer w państwach nieprzewidujących mechanizmów kontrolnych.
Stosownie do postanowień wytycznych kraje członkowskie powinny przewidzieć środki zapewniające niezakłócony i bezpieczny przepływ danych między krajami. Celem tych postanowień jest przede wszystkim wprowadzenie przedsięwzięć chroniących znajdujące się w międzynarodowym obrocie dane przed nieupoważnionym dostępem, zniszczeniem itp., przy czym wszelkie te przedsięwzięcia powinny: 1) być zgodne z systemem łączności i międzynarodowymi umowami w tym zakresie, 2) gwarantować szybką międzynarodową wymianę informacji, jak i utrzymanie tajemnicy korespondencji. Rozstrzygnięcie kwestii szczegółowych co do tych przedsięwzięć pozostawiono ustawodawstwom krajowym.
Istotne znaczenie posiadają postanowienia wytycznych statuujące dopuszczalne restrykcje w sferze międzynarodowego przekazywania danych. Możliwe są one z trzech powodów. Po pierwsze, chodzi o tzw. standard równoważnej ochrony danych, równoważnej pomiędzy krajem uzyskującym dane i krajem eksportu danych, przy czym wytyczne nie wyjaśniają, kto i według jakich kryteriów miałby to oceniać. Eksport danych może być w szczególności zabroniony wówczas, jeśli prowadziłby do próby obejścia ustawodawstwa o ochronie danych poprzez rozpowszechnianie danych w kraju, który nie respektuje wytycznych OECD. Po drugie, możliwe są ograniczenia transferu danych związane z reeksportem, a to wtedy, gdy w wyniku przekazania informacji do innego państwa udaremniony zostaje cel, jaki spełniać ma krajowe ustawodawstwo o ochronie danych. Wytyczne nie zawierają przy tym żadnej wskazówki, czy w grę wchodzi tu tylko reeksport do kraju trzeciego czy też do kraju członkowskiego. W literaturze przyjmuje się raczej, iż omawiane postanowienie dotyczy transferu z kraju członkowskiego, poprzez inny kraj członkowski, do kraju nienależącego do OECD. Po trzecie, możliwe są restrykcje związane z określonymi kategoriami danych osobowych (np. tzw. danymi sensytywnymi), dla których ustawodawstwo jednego kraju przewiduje szczególne uregulowanie, zaś ustawodawstwo innego kraju nie zna względem nich ochrony równoważnej.
Postanowienia omawianego rozdziału wytycznych dotyczą także środków, które tamują przepływ danych między krajami, a wykraczają poza potrzeby wynikające z ochrony sfery prywatności i indywidualnych wolności. Żaden kraj nie powinien, powołując się na zasady ochrony danych, ograniczać ich eksportu do innego kraju lub uzależniać go od specjalnej zgody, jeśli chce przez to osiągnąć faktycznie inne cele, których jednak nie podaje do wiadomości. Z drugiej wszakże strony wytyczne nie zamierzają ograniczać prawa krajów członkowskich do regulowania przepływu danych do innych państw w zakresie: wolnego handlu, ceł, zatrudnienia i warunków gospodarczych międzynarodowego obrotu takim "towarem".
Wzajemna pomoc i współpraca
5.
Rozdział 5 wytycznych zawiera postanowienia poświęcone współpracy w ramach OECD odnośnie do problematyki ochrony danych. Zaleca on krajom członkowskim z jednej strony, wzajemne informowanie się o realizacji wytycznych, z drugiej strony, wprowadzenie postępowania umożliwiającego wymianę doświadczeń oraz wzajemną pomoc. Poza tym kraje te powinny współpracować przy uregulowaniu przepływu danych pomiędzy państwami i przy wypracowaniu w tym zakresie norm kolizyjnych oraz powinny dążyć do przyjęcia zharmonizowanego uregulowania w kwestii kontroli eksportu i importu danych (np. na drodze systemu licencjonowania); konieczne jest nadto przyjęcie prostego i uzgodnionego między krajami członkowskimi postępowania dotyczącego transgranicznego przekazywania danych oraz ochrony sfery prywatności i indywidualnych wolności.
VI.ONZ
Choć problem ochrony danych osobowych nie pojawia się w dosłownym brzmieniu w wydawanych po II wojnie światowej pod auspicjami ONZ aktach międzynarodowych, niemniej wypada zaznaczyć, iż przywiązują one duże znaczenie do bezpośrednio z tym problemem związanych kwestii ochrony prywatności. I tak art. XII Powszechnej Deklaracji Praw Człowieka, przyjętej w formie rezolucji przez Zgromadzenie Ogólne ONZ w 1948 r., stwierdza: "Nie wolno wkraczać samoistnie w czyjekolwiek życie prywatne, rodzinne, domowe lub korespondencję (...). Każdy człowiek ma prawo do ochrony prawnej przeciwko takim ingerencjom i atakom". Podobną myśl zawiera przyjęty przez Zgromadzenie Ogólne ONZ Międzynarodowy Pakt Praw Obywatelskich i Politycznych z 1966 r. Przepis art. 17 tego Paktu przewiduje: "Nikt nie może być narażony na samowolną lub bezprawną ingerencję w jego życie prywatne, rodzinne, dom czy korespondencję (...). Każdy ma prawo do ochrony prawnej przed tego rodzaju ingerencjami i zamachami".
1.Wytyczne w sprawie uregulowania elektronicznych zbiorów danych osobowych
1.
Mając na uwadze, iż do zadań ONZ należą także działania na rzecz ochrony poszanowania praw człowieka, organizacja ta przedmiotem swego zainteresowania uczyniła również problem ochrony danych osobowych. Postanowienie art. 10 Karty ONZ upoważnia przy tym Zgromadzenie Ogólne do wydawania zaleceń dla państw członkowskich w zakresie problematyki uwzględnionej w Karcie. Ten stan rzeczy upoważnił do wydania projektu wytycznych poświęconych uregulowaniu elektronicznych banków danych, w których zawarte są dane osobowe (z 26 czerwca 1985 r.), przygotowanego pod auspicjami Komisji Praw Człowieka ONZ (Commission on Human Rights, Subcommission on Prevention of Discrimination and Protection of Minorities), który to projekt został w 1988 r. przyjęty przez Komisję i ogłoszony jako rezolucja 45/95 Zgromadzenia Ogólnego ONZ z dnia 14 grudnia 1990 r. Tego rodzaju wytyczne, dodajmy, nie mają z punktu widzenia prawa wiążącego charakteru, a stanowią jedynie zalecenia kierowane nie tylko do państw, ale i organizacji międzynarodowych rządowych oraz instytucji pozarządowych; ich treść nie musi być przeniesiona do prawa wewnętrznego.
Wytyczne, obejmując zakresem swojego działania w zasadzie komputerowe przetwarzanie danych osobowych, nie wykluczają jednak ich zastosowania także do przetwarzania manualnego. Nie jest natomiast dostatecznie jasne to, jakie rodzaje zbiorów danych (kartotek) są tu brane pod uwagę: czy tylko te funkcjonujące w sektorze publicznym, czy również znajdujące się w sektorze prywatnym. Regulacje zawarte w wytycznych są niewątpliwie mniej konkretne niż te, które podają wytyczne OECD; charakteryzują się dużą elastycznością i ogólnikowymi sformułowaniami, co tłumaczyć można faktem, iż są one adresowane do stu kilkudziesięciu państw o niezwykle zróżnicowanym statusie, także technicznym i prawnym.
2.
W literaturze zwraca się uwagę na następujące podstawowe regulacje i wypracowane zasady, które znalazły odbicie w wytycznych.
Zasada legalności i uczciwości. Dane osobowe nie mogą być ani zbierane, ani przetwarzane przy pomocy bezprawnych lub nieuczciwych metod, korzystanie z nich nie może być sprzeczne z celami i zasadami Karty Narodów Zjednoczonych. O tym, co jest nielegalne lub nieuczciwe, rozstrzygać mają już przepisy wewnętrzne każdego kraju.
Zasada jakości (wartości) danych. Podmioty odpowiedzialne za przetwarzanie danych osobowych powinny być zobowiązane do badania dokładności i relewantności zgromadzonych danych, a w razie potrzeby uzupełniać je i uaktualniać.
Zasada celowości. Przed założeniem zbioru danych powinien być ustalony jego cel, który należy usprawiedliwić i podać do publicznej wiadomości, a także zagwarantować, aby ze względu na ten cel zbierane dane miały charakter konieczny i odpowiedni. Po osiągnięciu celu dalsze gromadzenie danych jest niedozwolone. Dane nie mogą poza tym być ani wykorzystywane, ani przekazywane do innych celów.
Zasada niedyskryminacji. Zabronione jest zasadniczo gromadzenie danych sensytywnych, które mogłyby stanowić podstawę do samowolnej dyskryminacji, chyba że odstępstwa od tej zasady są dopuszczone przez prawo wewnętrzne, nie kolidują z powszechnymi deklaracjami w sprawie praw człowieka, paktami dotyczącymi praw obywatelskich i politycznych oraz poświęconymi prawom gospodarczym, socjalnym i kulturalnym, a także przewidziane są odpowiednie zabezpieczenia.
Zasada dostępu zainteresowanego do swoich danych. Każdemu powinno być zapewnione prawo do informacji o zgromadzonych "na jego temat" danych (w stosownym czasie, bez nadmiernych kosztów i w zrozumiałej formie) oraz prawo żądania poprawienia albo usunięcia danych nieprawdziwych, niedozwolonych, niekoniecznych lub niedokładnych. Z roszczeniami takimi przeciwko osobie odpowiedzialnej za przetwarzanie danych wystąpić może każdy, bez względu na swe obywatelstwo czy miejsce pobytu.
Odstępstwa od tych reguł są możliwe, gdy przewidują to ustawy wewnętrzne, a nadto jest to niezbędne do: ochrony bezpieczeństwa narodowego, porządku publicznego, zdrowia i moralności publicznej lub praw osób trzecich. Poza tym pozarządowe organizacje międzynarodowe mogą wyłączyć stosowanie podanych reguł w odniesieniu do niektórych zbiorów danych, takich, które służą ochronie praw człowieka i podstawowych wolności.
Zasada bezpieczeństwa danych. Należy podjąć odpowiednie środki zabezpieczające dane przed utratą, zniszczeniem, zmianą, nieuprawnionym dostępem lub wykorzystaniem.
Zasada kontroli ochrony danych. System prawny każdego kraju powinien przewidywać funkcjonowanie niezależnego, wyspecjalizowanego i kompetentnego od strony technicznej organu sprawującego kontrolę nad realizacją zasad przyjętych w wytycznych. Wytyczne omawiane w tym punkcie przewidują wyższy poziom ochrony niż wytyczne OECD.
Swobodny obrót danymi pomiędzy krajami jest aprobowany, o ile ich przepisy wewnętrzne zapewniają zbliżony (dosłownie: "mniej lub bardziej równoważny") standard ochrony. Przy braku podobnego poziomu ochrony ponadgraniczny obrót danymi może być ograniczony. Restrykcje te - jak zaznaczają wytyczne - nie powinny być jednak nieproporcjonalne i dozwolone są jedynie w takim zakresie, w jakim jest to niezbędne do ochrony sfery prywatności.
2.Rezolucja 45 (95) Zgromadzenia Ogólnego ONZ: Wytyczne w sprawie uregulowania kartotek skomputeryzowanych danych osobowych
3.
Wskazany dokument wypracowany przez Zgromadzenie Ogólne ONZ posiada generalny charakter i odnosi się wprost do minimalnego standardu ochrony danych osobowych, jaki powinien zostać zapewniony w ustawodawstwach krajowych . Ujęty został w postaci kilku podstawowych zasad, które nawiązują do rozwiązań wypracowanych przez omówione wyżej wytyczne. Należy zapewnić stosowanie tych zasad w pierwszym rzędzie w odniesieniu do wszystkich skomputeryzowanych kartotek publicznych i prywatnych zawierających dane osobowe, jak też, ewentualnie, w sposób odpowiedni, do kartotek manualnych. Rezolucja zezwala też na wprowadzenie specjalnych przepisów dotyczących danych na temat osób prawnych, zwłaszcza gdy zawierają one pewne informacje o osobach fizycznych.
W rezolucji zostały przyjęte następujące zasady:
zasada zgodności z prawem i słuszności; nakazuje posługiwanie się przy przetwarzaniu danych słusznymi i zgodnymi z prawem sposobami oraz zabrania wykorzystywać te dane do celów sprzecznych z celami i zasadami Karty ONZ;
zasada rzetelności danych; nakazuje zachowanie dbałości o aktualność danych, ich kompletność, zgodność z prawdą;
zasada celowości; nakazuje ujawniać cel, jakiemu służyć ma zbiór danych i ich wykorzystywanie, głównie po to, aby można było kontrolować, czy
gromadzone dane są względem tego celu istotne i adekwatne,
dane nie są, bez zgody zainteresowanych, wykorzystywane do innych celów,
dane przechowywane są nie dłużej, niż to jest potrzebne dla osiągnięcia oznaczonego celu;
zasada dostępu osoby zainteresowanej; nakazuje umożliwić zainteresowanym zorientowanie się (bez nieuzasadnionej zwłoki i wydatków oraz w zrozumiałej formie), czy dotyczące ich informacje podlegają przetwarzaniu, komu są przekazywane, jak również umożliwić weryfikację, uzupełnienie lub usunięcie danych fałszywych, niepełnych, niekoniecznych, nieaktualnych;
zasada niedyskryminacji (szczególnej ochrony "danych wrażliwych"); zabrania zbierania - poza szczególnymi przewidzianymi prawem sytuacjami - danych, które mogłyby prowadzić do niezgodnej z prawem bądź arbitralnej dyskryminacji, w tym danych dotyczących pochodzenia rasowego lub etnicznego, koloru skóry, życia seksualnego, poglądów politycznych, religijnych, filozoficznych i innych przekonań, jak również danych mówiących o członkostwie w stowarzyszeniach lub związkach zawodowych;
zasada bezpieczeństwa; nakazuje podejmować środki właściwe w celu ochrony kartotek przed niebezpieczeństwami naturalnymi (np. przypadkowe zniszczenie, utrata), jak i zagrożeniami ze strony ludzi (np. nieuprawniony dostęp, oszukańcze nadużycie danych, skażenie wirusem komputerowym).
Przepisy wewnętrzne każdego kraju powinny przy tym powoływać do życia niezależną władzę odpowiedzialną za przestrzeganie powyższych zasad oraz przewidywać sankcje karne lub inne za naruszenie wspomnianych zasad. Poza tym rezolucja zaznacza, iż transgraniczne przekazywanie danych jest dozwolone zasadniczo o tyle, o ile kraje tym zainteresowane przewidują porównywalne gwarancje ochrony prywatności.
Przepisy wewnętrzne mogą wprowadzać wyjątki w zakresie pełnego respektowania powyższych zasad, jeśli przemawia za tym interes ochrony bezpieczeństwa narodowego porządku publicznego, ochrony zdrowia lub moralności publicznej, jak i praw oraz wolności innych osób, zwłaszcza prześladowanych. Wyjątki takie muszą być wyraźnie sformułowane. W przypadku "danych wrażliwych" dodatkowym kryterium dopuszczalności wprowadzenia wyjątków jest to, aby mieściły się one w ramach wyznaczonych przez Międzynarodową Kartę Praw Człowieka i inne dokumenty z dziedziny ochrony praw człowieka oraz zapobiegania dyskryminacji.
Wreszcie rezolucja wspomina o kartotekach danych osobowych prowadzonych przez rządowe organizacje międzynarodowe. Także w odniesieniu do takich zbiorów, przy odpowiedniej adaptacji, znajdować powinny zastosowanie wyszczególnione wyżej zasady. Odstępstwo od nich może występować wówczas, gdy celem kartoteki jest ochrona praw człowieka i podstawowych wolności bądź świadczenie pomocy humanitarnej.
C.Ochrona danych osobowych w systemie prawa polskiego
I.Ochrona danych osobowych na gruncie Konstytucji
1.
Ochrona danych osobowych jest zakotwiczona w przepisach aktualnie obowiązującej w Polsce Konstytucji. Trzeba jednak zaznaczyć, iż zakres konstytucyjnego unormowania nie rozciąga się na wszelkie przejawy zbierania i przetwarzania danych osobowych. Ustawodawca skupia uwagę na ochronie najważniejszych interesów obywatelskich. Dlatego też ograniczył się on do uznania, że:
nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (art. 51 ust. 1);
każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa (art. 51 ust. 3);
każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (art. 51 ust. 4).
2.
Z powyższych stwierdzeń zamieszczonych w Konstytucji można wyprowadzić kilka istotnych wniosków.
Polski system prawny przyjmuje zasadę (prawo do) samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji. Zasada ta:
odnosi się do wszelkich tego rodzaju informacji; nie została zawężona do informacji szczególnego charakteru albo dotyczących szczególnych kwestii; poza tym oznacza, że:
zobowiązania do ujawniania informacji na swój temat mają zawsze charakter wyjątkowy, co sprzeciwia się ich rozszerzającemu interpretowaniu;
wspomniane zobowiązania muszą mieć ustawowe umocowanie; nie mogą zatem wynikać na przykład z aktów wewnątrzzakładowych (regulaminów pracy), ale także z układów zbiorowych pracy, norm deontologicznych czy nawet z prawa zwyczajowego.
Użyte w analizowanych normach określenie "informacje dotyczące osoby" może być uznane za synonim pojęcia "dane osobowe".
3.
Prawo decydowania o ujawnianiu własnych danych osobowych przysługuje "każdemu". Nie jest - według Konstytucji - uzależnione od spełnienia przez osobę fizyczną jakichkolwiek warunków, w tym też dotyczących wieku, stanu psychicznego, zdolności do czynności prawnych. Nie jest to prawo należące do "praw publicznych", a zatem sądowe pozbawienie osoby takich praw nie odbiera jej możliwości decydowania o udostępnianiu danych osobowych.
4.
Prawu do "samostanowienia" o ujawnianiu informacji na swój temat towarzyszy prawo do sprawowania swoistej kontroli nad takimi informacjami. Nie ma jednak ono już tak ekstensywnego i bezwzględnego charakteru. W Konstytucji wyraża się to gwarantowaniem każdemu - w myśl art. 51 ust. 3 - prawa dostępu do dotyczących go urzędowych dokumentów i (tu również chyba należy dodać przymiotnik "urzędowych") zbiorów danych. Wprawdzie określenie "dotyczących go" nie oznacza wprost, iż w grę wchodzą wyłącznie takie dokumenty i zbiory, w których figurują informacje dotyczące tej osoby (bowiem "dotyczyć" kogoś mogą różnorakie materiały, w których nie jest on w ogóle "wymieniony"), niemniej trzeba przyjąć, iż ustawodawca miał na myśli takie właśnie dokumenty oraz zbiory. Treść omawianego postanowienia wskazuje przy tym jednoznacznie, że:
omawiane prawo może być ograniczone tylko normami rangi ustawowej;
nie można domagać się (w oparciu o komentowany przepis) dostępu do "nieurzędowych" (prywatnych) zbiorów i dokumentów, nawet jeśli będą one w całości nastawione na gromadzenie informacji dotyczących danej osoby.
Uwagi zamieszczone w pkt 2 mają tu odpowiednie zastosowanie.
5.
Jeśli analizowane przepisy odwołują się do "urzędowego" dokumentu czy zbioru, to - jak się wydaje - istotny jest tu nie tyle sam charakter dokumentu (zbioru), co raczej cechy jego dysponenta. Zauważmy bowiem, że dokument o urzędowym charakterze (np. odpis aktu urodzenia) może znajdować się w prywatnych rękach (np. w zbiorach kolekcjonera), lecz wówczas brak podstaw do domagania się poprawienia w nim błędnie podanej informacji (np. co do miejsca urodzenia).
6.
Urzeczywistnieniem prawa kontroli jest - gwarantowana w art. 51 ust. 4 - możność weryfikowania (prostowania) albo usuwania danych osobowych. Dotyczy to informacji nieprawdziwych lub niepełnych. Usunięcia informacji można domagać się także wówczas (niezależnie od tego, czy są one prawdziwe oraz pełne), jeśli zostały one zebrane w sposób sprzeczny z ustawą. Należy zaznaczyć, że wprawdzie Konstytucja nie stanowi wprost o prawie do sprostowania czy usunięcia, ale o "prawie do żądania" sprostowania i usunięcia, to jednak nie powinno to stanowić argumentu na rzecz osłabienia prawa i uznania, że jego respektowanie (przez dysponenta informacji) ma w jakiejś mierze uznaniowy charakter.
Treść omawianego postanowienia Konstytucji może nasuwać pytanie, czy z żądaniem poprawienia, uzupełnienia lub usunięcia informacji można wystąpić przeciw każdemu, czy tylko wówczas, gdy chodzi o informacje będące w gestii urzędów, znajdujące się w urzędowych dokumentach lub zbiorach. Wprawdzie stosując wykładnię literalną można by opowiadać się za pierwszą z dwóch podanych wyżej interpretacji, niemniej bardziej celowa, racjonalna i uwzględniająca kontekst całej regulacji wydaje się wykładnia druga. Wątpliwe byłoby formułowanie prawa do sprostowania tam, gdzie nie istnieje w ogóle prawo dostępu do zbioru informacji.
Uwagi zamieszczone w pkt 2 stosuje się tu odpowiednio.
7.
Przetwarzania danych osobowych w pełnym tego słowa znaczeniu dotyczy tylko art. 51 ust. 2 Konstytucji. Postanowienie to przewiduje, iż: "Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym". Uzupełnieniem tej regulacji jest zawarte w art. 51 ust. 5 stwierdzenie: "Zasady i tryb gromadzenia i udostępniania informacji określa ustawa". Można uznać, że jest nią ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Jak wynika z zacytowanych norm, poza regulacją konstytucyjną pozostaje takie pozyskiwanie, przetwarzanie i udostępnianie informacji o obywatelach, które prowadzone jest przez inne podmioty niż "władze publiczne"; mogą to być na przykład jednostki gospodarcze, instytucje kulturalne, związki zawodowe, stowarzyszenia, fundacje, związki wyznaniowe i kościoły oraz inne niepubliczne jednostki organizacyjne i osoby prawne, a także osoby fizyczne. Ich działalność w zakresie przetwarzania danych osobowych tylko wówczas będzie mogła być uznana za sprzeczną z Konstytucją, gdy wykazane zostanie naruszenie innych norm konstytucyjnych, innych konstytucyjnych praw lub wolności. Tak samo należy ocenić wszelkie formy obrotu danymi osobowymi, dokonywanego poza sektorem publicznym. Takie ujęcie nie przeszkadza jednak temu, iż również w odniesieniu do tych przypadków Konstytucja gwarantuje wymienione wcześniej indywidualne uprawnienie zachowania w poufności danych osobowych - prawo do samodzielnego decydowania o ujawnianiu dotyczących osoby danych.
8.
Jeśli chodzi o pozyskiwanie, gromadzenie i udostępnianie informacji o obywatelach (ich danych osobowych) przez władze publiczne, Konstytucja wprowadza następujący generalny wyznacznik: takie działanie jest dopuszczalne w tym tylko zakresie, w jakim jest to niezbędne w demokratycznym państwie prawnym.
Jak się podkreśla w literaturze zagranicznej, niezbędnym składnikiem państwa demokratycznego jest skuteczna ochrona danych osobowych. Cechą takiego państwa jest bowiem udział obywateli w podejmowaniu decyzji. Tymczasem niekontrolowane przetwarzanie danych, sytuacja, w której obywatel nie wie, kto, jakie i w jakim celu gromadzi dotyczące go dane, rodzi niebezpieczeństwo ograniczenia pełnej swobody podejmowania decyzji, rozstrzygania o własnym rozwoju, niebezpieczeństwo zaistnienia braku zaufania do organów władzy. Ochrona danych osobowych powinna mieć zatem rangę konstytucyjną. Służyć jej powinny odpowiednie, kompleksowe ustawy oraz działalność specjalnych organów państwowych.
9.
Konstytucja pomija kwestię pozyskiwania, gromadzenia i udostępniania przez władze publiczne informacji na temat innych podmiotów niż obywatele (niż osoby fizyczne).
10.
Rozważając ochronę danych osobowych na gruncie Konstytucji RP nie sposób pominąć prawa do prywatności. Artykuł 47 Konstytucji stanowi: "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". Trudno nie dostrzec, iż zbieranie, przetwarzanie i udostępnianie danych osobowych co najmniej w części przypadków wkraczać będzie w obszar szeroko rozumianego - tak jak to przyjmuje Konstytucja - prawa do prywatności.
Wypada zauważyć, iż w krajach, w których konstytucje nie wspominają wprost o zagadnieniu ochrony danych osobowych, nadanie ich ochronie rangi konstytucyjnej odbywa się niekiedy właśnie poprzez odpowiednią interpretację norm poświęconych ochronie dóbr osobistych czy prywatności. Za przykład posłużyć tu może niemiecka nauka prawa, która z ogólnego prawa osobistości (Persönlichkeitsrecht) osadzonego w Konstytucji Federalnej wywodzi konstytucyjne prawo do "informacyjnego samookreślenia się" (Recht auf informationelle Selbstbestimmung).
11.
Wspomnieć trzeba także o gwarantowanej Konstytucją RP (art. 49) wolności i ochronie tajemnicy komunikowania się. Problem, jaki tu się pojawia, dotyczy systemów informatycznych wykorzystywanych dla przetwarzania danych osobowych. Nasuwa się pytanie, czy przepływ informacji w tych systemach korzysta z ochrony tajemnicy komunikowania się. Wydaje się, iż udzielenie odpowiedzi twierdzącej wchodzi ewentualnie w rachubę w odniesieniu do otwartych sieci komputerowych; natomiast przekaz "wewnętrzny", w ramach zamkniętych systemów, znajduje się poza zakresem konstytucyjnych gwarancji tajemnicy komunikowania się.
12.
Rozważając kwestie ochrony danych osobowych nie sposób również pominąć problematyki prawa do informacji, gwarantowanego przepisami art. 54 oraz 61 Konstytucji. Na tym tle uwidacznia się konflikt pomiędzy tymi konstytucyjnie chronionymi prawami. Z jednej strony jednostka ma prawo chronić swoje dane osobowe, a z drugiej strony może domagać się uzyskania informacji o innych osobach. Wspomniany powyżej konflikt stara się łagodzić ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 z późn. zm.).
13.
Kończąc tę część rozważań należałoby jeszcze wskazać na przyjętą w Konstytucji RP zasadę swobody działalności gospodarczej. Gwarantuje ona, iż: "Ograniczenie wolności działalności gospodarczej jest dopuszczalne tylko w drodze ustawy i tylko ze względu na ważny interes publiczny" (art. 22). Nie ma powodów, aby nie przyjąć, iż w określonych przypadkach elementem działalności gospodarczej lub wręcz samą tego rodzaju działalnością może być przetwarzanie danych osobowych bądź wykonywanie niektórych operacji na danych. Sygnalizowane w Konstytucji ograniczenia w tej mierze znajdują oparcie właśnie w komentowanej ustawie o ochronie danych osobowych; równocześnie wskazywać można, co najmniej w większości przypadków, na przemawiający za tymi ograniczeniami ważny interes publiczny.
II.Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (ogólna charakterystyka i założenia)
1.
Prace nad przygotowaniem aktualnie obowiązującej ustawy o ochronie danych osobowych trwały ponad 6 lat. Nie dziwi to, jeśli zważy się na jej złożoną materię, a przede wszystkim na fakt, iż jest to w polskim systemie prawnym pierwszy akt prawny zajmujący się ochroną danych osobowych. Komentowana ustawa z 1997 r. nie miała swej "poprzedniczki", której byłaby nowelizacją; nie istniała przez to możliwość odwołania się przy jej stosowaniu do praktyki, orzecznictwa, a w istocie też do krajowej doktryny. Ochrona tych interesów, którym służy omawiana ustawa, realizowana była wcześniej:
w innym (węższym) zakresie,
na odmiennej płaszczyźnie,
według innych założeń,
głównie poprzez ogólne przepisy prawa cywilnego dotyczące dóbr osobistych i - w pewnej mierze - przez przepisy odnoszące się do zbierania, przechowywania i udostępniania informacji w niektórych dziedzinach życia społecznego.
Jak się zauważa , tworzenie prawa ochrony danych osobowych traktować można jako przejaw jurydyzacji obszarów do niedawna "wolnych" od publicznoprawnej ingerencji. Ten stan rzeczy niesie z sobą interpretacyjne wątpliwości i trudności , a równocześnie skłania też do obserwowania sposobu stosowania podobnych ustaw w innych krajach, zwłaszcza należących do Unii Europejskiej.
To ostatnie stwierdzenie ma swe uzasadnienie przede wszystkim w tym, iż w toku prac nad ustawą z 1997 r. brano pod uwagę i kierowano się w znacznej mierze rozwiązaniami, jakie przyjęła dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych . Jako nowsza i bardziej szczegółowa miała większy i bardziej bezpośredni wpływ na kształt ustawy niż konwencja Rady Europy z 1981 r. o ochronie jednostek w związku z automatycznym przetwarzaniem danych osobowych. Bardziej pełne i prawidłowe przeniesienie na grunt prawa polskiego rozwiązań przyjętych w cytowanej dyrektywie było poza tym głównym celem dokonanej w 2001 r. nowelizacji ustawy o ochronie danych osobowych. Cel ten nie został jednak w pełni osiągnięty, co sprawiło, że w roku 2004 dokonano kolejnej obszernej zmiany ustawy, dostosowując ją do postanowień dyrektywy. Warto także podkreślić, iż ustawa jest zgodna z wymogami konwencji, co znalazło swoje odzwierciedlenie w ratyfikacji konwencji przez Polskę dnia 24 kwietnia 2002 r.
2.
Omawianej ustawie starano się nadać kompleksowy charakter, i to na kilku płaszczyznach. Obok "głównego nurtu", jakim jest ochrona interesów tych, których dotyczą przetwarzane dane, ustawa zajmuje się także - choć może jeszcze fragmentarycznie, jakby na dalszym planie - "drugą stroną", jaką są: kwestia wolności informacji, kwestia udostępniania danych osobowych, interes osób trzecich (instytucji, obywateli) związany z dostępem i wykorzystywaniem informacji . Poszukuje w tym zakresie sposobu pogodzenia do pewnego stopnia sprzecznych interesów. Co przy tym istotne, ustawa nie wprowadza żadnych wyraźnych przepisów, jeśli chodzi o obrót zbiorami (bazami) danych osobowych.
Ważną rolę tak w zakresie ochrony jednych, jak i drugich interesów, ustawa przyznaje przy tym administratorom danych. Nakłada na nich:
rozległe obowiązki informacyjne w stosunku do tych, których dotyczą zbierane i przetwarzane dane osobowe (art. 24-25, art. 32-33, art. 54 u.o.d.o.);
obowiązek dbania o legalność i rzetelność przetwarzania danych osobowych (art. 26, art. 49-50 u.o.d.o.);
obowiązek dbania o zachowanie danych osobowych w poufności (art. 37-39, art. 51 u.o.d.o.);
obowiązek zabezpieczenia zbiorów danych osobowych (art. 36 i n., art. 52 u.o.d.o.);
obowiązek rejestracji zbioru (art. 40 i n., art. 53 u.o.d.o.).
Kompleksowy charakter ustawy polega też na tym, iż zakresem swego działania obejmuje:
wszelkie postacie przetwarzania danych, zarówno "tradycyjne", manualne, jak i zautomatyzowane, czemu towarzyszy bardzo szerokie ujęcie pojęć "przetwarzanie" i "dane osobowe";
przetwarzanie danych zarówno w sektorze publicznym, jak i prywatnym.
Wreszcie ów złożony, kompleksowy charakter ustawy wyraża się i tym, iż łączy ona normy przynależne do różnych dziedzin prawa; głównie prawa administracyjnego i karnego. Niemniej - co należy zaznaczyć - dane osobowe (czy inaczej: słuszne interesy związane z przetwarzaniem danych osobowych) są na gruncie komentowanej ustawy chronione przede wszystkim środkami publicznoprawnymi, co nie wyłącza oczywiście możliwości sięgnięcia w licznych przypadkach także po środki prywatnoprawne.
Natomiast nie wpasowują się dobrze w przyjęte regulacje - co podnoszone jest jako mankament ustawy - te przypadki przetwarzania danych osobowych, do których dochodzi w międzynarodowych sieciach informatycznych .
3.
Należy też zaznaczyć, iż ustawa przyjęła model rejestracyjny (materialno-prawny), jeśli chodzi o prowadzenie przetwarzania danych osobowych. Nie jest ono zależne od uzyskania uprzedniego zezwolenia ze strony władzy, a jedynie na administratora danych nałożony został obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi; wiele zbiorów zostało przy tym zwolnionych z rejestracji. Ostatnia nowelizacja ustawy wprowadziła jednak istotne zmiany w zakresie możności rozpoczęcia przetwarzania danych sensytywnych; przetwarzanie takich danych jest dopuszczalne dopiero po zarejestrowaniu zbioru, a nie - jak to było przed nowelizacją - z chwilą zgłoszenia zbioru do rejestracji.
4.
U podstaw ustawy o ochronie danych osobowych z 1997 r. leży koncepcja, iż przetwarzanie danych dopuszczalne jest tylko w przypadkach i na warunkach wskazanych przez ustawę; równocześnie wykorzystanie danych osobowych nie może być zabronione, o ile odbywa się to z poszanowaniem ustawy. Nie przyjęto zatem proponowanego niekiedy założenia przeciwnego, według którego jedynie w określonych sytuacjach gromadzenie i wykorzystywanie danych osobowych zależne jest od zgody zainteresowanego lub od spełnienia innych wymogów; nie przyjęto też rozwiązania pośredniego, w myśl którego gdy przetwarzanie danych jest "naturalnym składnikiem normalnej działalności" prowadzonej przez daną firmę czy osobę - praktyka taka jest dozwolona, z zastrzeżeniem jednak nieprzekazywania posiadanych danych innym podmiotom (z takim podejściem spotykamy się np. w ustawie duńskiej).
Ustawa nie przewiduje przy tym expressis verbis instytucji rzecznika ochrony danych w przedsiębiorstwach, tak jak o tym stanowi na przykład ustawa niemiecka. Jednak na mocy nowelizacji ustawy o ochronie danych osobowych dokonanej 22 stycznia 2004 r. wprowadzono przepis nakładający na administratora danych obowiązek wyznaczenia administratora bezpieczeństwa informacji, którego zadaniem jest nadzorowanie przestrzegania zasad ochrony danych .
5.
Ustawa opiera się zasadniczo na regule ujednoliconego (wspólnego) standardu w zakresie przetwarzania i ochrony danych osobowych. Poza przejęciem powszechnie stosowanego rozróżnienia na "dane zwykłe" i "dane wrażliwe (sensytywne)" oraz wprowadzeniem dla tej ostatniej kategorii szczególnych ograniczeń, gdy chodzi o dopuszczalność przetwarzania, pozostałe dane, niezależnie od ich treści i charakteru, traktowane są jeśli nie identycznie, to w sposób bardzo zbliżony. Ustawodawca nie wprowadza też radykalnego zróżnicowania w uregulowaniu ze względu na to, czy przetwarzanie danych jest realizowane w sektorze publicznym czy prywatnym; poza tym częściowo tylko, można powiedzieć - w niewielkim stopniu, uwzględniany jest cel przetwarzania danych (np. cel naukowy, cele statystyczne, badanie opinii publicznej) .
Opisane podejście przyjęte w komentowanej ustawie o ochronie danych osobowych nie oznacza bynajmniej, aby w praktyce, w zakresie zbierania, udostępniania czy przechowywania rozmaitych kategorii danych nie występowały istotne różnice. Ich źródeł należy jednak poszukiwać przede wszystkim w przepisach szczegółowych, znajdujących się poza wspomnianą ustawą.
6.
Ustawa nie wyodrębnia kategorii "danych wolnych", które stawiałaby poza zakresem swojego działania. Niemniej wyraźnie łagodzi reżim ochronny, jeśli chodzi o "dane ogólnie dostępne" . Do czasu wejścia w życie nowelizacji z dnia 22 stycznia 2004 r. administrator, zbierając takie dane nie od osoby, której one dotyczą, nie musiał, bezpośrednio po utrwaleniu zebranych danych, spełniać obowiązków informacyjnych, o których stanowi art. 25 ust. 1 ustawy. Zwolnienie z tego obowiązku uznano jednak za zbyt daleko idące i na mocy wspomnianej noweli nałożono na administratorów danych ogólnodostępnych obowiązek informacyjny. Zbiory takich danych są jednak nadal zwolnione z obowiązku rejestracji, a administrator może je przekazywać swobodnie do kraju trzeciego, niezależnie od poziomu ochrony istniejącego w kraju docelowym. Nadto podanie danych do wiadomości publicznej przez osobę, której te dane dotyczą (co niekiedy możne być równoznaczne z nadaniem tym informacjom statusu danych ogólnie dostępnych) stanowi jedną z podstaw dopuszczalności przetwarzania tzw. danych sensytywnych.
7.
Ustawa wprowadza szczególne przywileje w odniesieniu do przetwarzania danych osobowych w celach naukowych. Przede wszystkim stosownie do znowelizowanego przepisu art. 27 ust. 2 pkt 9 dozwolone jest przetwarzanie danych wrażliwych, gdy jest to niezbędne do prowadzenia badań naukowych, z tym jednak zastrzeżeniem, aby w przypadku publikacji wyników badań naukowych nie była możliwa identyfikacja osób, których dane zostały przetworzone. Nadto ułatwienia polegają na zwolnieniu administratora z obowiązku przekazywania "z urzędu" określonych informacji osobom, których dotyczą dane, wówczas gdy dane nie są bezpośrednio od tych osób zbierane (art. 25), jak i na zwolnieniu go z obowiązku udzielania na życzenie wspomnianych osób informacji o przetwarzaniu ich danych, gdyby pociągało to za sobą nakłady niewspółmierne z zamierzonym celem, a zachowane zostałyby równocześnie warunki powodujące, iż przetwarzanie nie naruszałoby praw lub wolności osób, których dane dotyczą (art. 32 ust. 4). Wreszcie w celach badań naukowych mogą być przetwarzane dane osobowe zebrane w innym celu (nienaukowym), pod warunkiem że przetwarzanie to nie będzie naruszać praw i wolności osoby, której dane dotyczą, oraz że zostaną zachowane przepisy art. 23 i 25 ustawy (art. 26 ust. 3).
Zaznaczmy, iż zbiory danych osobowych przetwarzanych dla celów naukowych nie są zwolnione z wymogu rejestracji.
Szczególne wątpliwości powstają w odniesieniu do relacji występującej między pojęciem "badania naukowe" (z art. 27 ust. 2 pkt 9) a określeniem "badania naukowe, dydaktyczne, historyczne i statystyczne lub badania opinii publicznej" (z art. 25 ust. 2 pkt 3). Problem polega na tym, że wyłącznie językowa wykładnia obu tych przepisów przemawiałaby za niestosowaniem przywileju z art. 27 ust. 2 pkt 9 zezwalającego w sposób generalny na przetwarzanie danych osobowych w celach naukowych, jeśliby miało to służyć prowadzeniu prac "dydaktycznych, historycznych i statystycznych lub badaniu opinii publicznej". Por. w tej sprawie komentarz do art. 27 ust. 2 pkt 9.
Inaczej traktowane są dane osobowe niezbędne do badania opinii publicznej. Administrator przetwarzający takie dane korzysta w świetle ustawy z jednego tylko przywileju (wyrażonego w art. 25 ust. 2 pkt 3), a mianowicie w przypadku zbierania danych osobowych nie od osób, których one dotyczą, administrator danych nie musi przekazywać tym osobom (bezpośrednio po utrwaleniu zebranych danych) takich informacji:
które by go identyfikowały,
które podawałyby cel i zakres zbierania danych, a w szczególności odbiorców lub kategorie odbiorców danych,
które wskazywałyby na źródło danych,
które wskazywałyby na prawo wglądu do swoich danych oraz ich poprawiania, a także na uprawnienia wynikające z art. 32 ust. 1 pkt 7 i 8 ustawy.
Także przetwarzanie danych do celów archiwalnych zostało w bardzo skromnym zakresie uwzględnione w komentowanej ustawie. Podlega ono regułom ogólnym, z tym tylko wyjątkiem, iż administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem (art. 32 ust. 4). Nie jest natomiast on zwolniony z obowiązków informacyjnych podanych w art. 24 i 25 ustawy.
W wyniku nowelizacji z dnia 22 stycznia 2004 r. wyłączono z zakresu stosowania większości przepisów ustawy prasową działalność dziennikarską oraz działalność literacką i artystyczną .
8.
Ustawa reguluje również kwestie udostępniania danych osobowych . Osoba starająca się o udostępnienie jej danych musi bądź wskazać na przepisy, które upoważniają ją do uzyskania danych, bądź uzasadnić w sposób wiarygodny potrzebę posiadania danych, przy zastrzeżeniu, że ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
III.Ochrona danych osobowych na gruncie innych ustaw
1.
Nadanie ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych generalnego charakteru w zakresie materii wskazanej w jej tytule sprawia, iż regulacja ta jest uzupełniana licznymi przepisami szczegółowymi "rozsianymi" w wielu aktach prawnych dotyczących poszczególnych dziedzin życia społecznego . Co istotne, w licznych przypadkach są to przepisy wydane wcześniej niż omawiana ustawa. Ta ostatnia dostrzega ten stan rzeczy i stara się dać stosującym prawo wskazówkę, jak postępować w sytuacjach, gdy usprawiedliwione byłoby odwołanie się zarówno do ustawy z 1997 r., jak i do ustawy szczegółowej. Stosownie do art. 5 u.o.d.o.: "Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw" .
2.
W komentarzu tym w zasadzie nie omawiamy szczegółowo "specjalnych" czy "branżowych" regulacji dotyczących przetwarzania i ochrony danych osobowych. Zagadnienia dotyczące gromadzenia i wykorzystywania informacji o osobach fizycznych uregulowane zostały w bardzo wielu aktach normatywnych. Zestawienie wszystkich regulacji prawnych, które choćby częściowo odnoszą się do tej problematyki, byłoby niezwykle obszerne. Ograniczymy się tu więc do przedstawienia wykazu najważniejszych ustaw i rozporządzeń wykonawczych zawierających przepisy dotyczące przetwarzania i ochrony danych osobowych. Dla usystematyzowania zamieszczonego poniżej zestawienia wskazane akty prawne ujęte zostały w specjalnie w tym celu utworzone grupy tematyczne.
Akty stanu cywilnego
- ustawa z dnia 29 września 1986 r. - Prawo o aktach stanu cywilnego (tekst jedn. Dz. U. z 2004 r. Nr 161, poz. 1688)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 26 października 1998 r. w sprawie szczegółowych zasad sporządzania aktów stanu cywilnego, sposobu prowadzenia ksiąg stanu cywilnego, ich kontroli, przechowywania i zabezpieczenia oraz wzorów aktów stanu cywilnego, ich odpisów, zaświadczeń i protokołów (Dz. U. Nr 136, poz. 884 z późn. zm.)
- rozporządzenie Ministra Zdrowia z dnia 2 lutego 2005 r. w sprawie pisemnego zgłoszenia urodzenia dziecka (Dz. U. Nr 27, poz. 232)
Ewidencja ludności, dowody osobiste, paszporty
- ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (tekst jedn. Dz. U. z 2006 r. Nr 139, poz. 993)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 21 listopada 2000 r. w sprawie wzoru dowodu osobistego oraz trybu postępowania w sprawach wydawania dowodów osobistych, ich wymiany, zwrotu lub utraty (Dz. U. Nr 112, poz. 1182 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 listopada 2002 r. w sprawie wzoru formularza wniosku o udostępnienie danych ze zbiorów meldunkowych, zbioru PESEL oraz ewidencji wydanych i utraconych dowodów osobistych (Dz. U. Nr 201, poz. 1702)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 20 grudnia 2002 r. w sprawie trybu przekazywania danych pomiędzy organami prowadzącymi ewidencję ludności oraz powiadamiania o nadaniu numeru PESEL (Dz. U. Nr 236, poz. 1996)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 20 grudnia 2002 r. w sprawie trybu przekazywania przez gminy danych z ewidencji wydanych i utraconych dowodów osobistych (Dz. U. Nr 236, poz. 1997)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 24 grudnia 2002 r. w sprawie zgłaszania i przyjmowania danych niezbędnych do zameldowania i wymeldowania oraz prowadzenia ewidencji ludności i ewidencji wydanych i utraconych dowodów osobistych (Dz. U. Nr 236, poz. 1999)
- ustawa z dnia 29 listopada 1990 r. o paszportach (Dz. U. Nr 2, poz. 5 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 12 lipca 2002 r. w sprawie wzorów oraz trybu wydawania paszportów, dokumentów wymaganych do ich otrzymania, a także trybu postępowania funkcjonariuszy Straży Granicznej w przypadku ujawnienia w czasie kontroli granicznej wad w paszportach (Dz. U. Nr 114, poz. 991 z późn. zm.)
Obywatelstwo polskie
- ustawa z dnia 15 lutego 1962 r. o obywatelstwie polskim (tekst jedn. Dz. U. z 2000 r. Nr 28, poz. 353 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 grudnia 2001 r. w sprawie rejestrów danych prowadzonych w sprawach obywatelstwa polskiego (Dz. U. z 2002 r. Nr 1, poz. 15)
Cudzoziemcy, repatrianci, uchodźcy
- ustawa z dnia 13 czerwca 2003 r. o cudzoziemcach (Dz. U. Nr 128, poz. 1175 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 12 sierpnia 2003 r. w sprawie wzorów karty pobytu i dokumentów w sprawach cudzoziemców, formularzy wniosków o ich wydanie lub wymianę oraz fotografii dołączanych do wniosku (Dz. U. Nr 150, poz. 1461 z późn. zm.)
- ustawa z dnia 14 lipca 2006 r. o wjeździe na terytorium Rzeczypospolitej Polskiej, pobycie oraz wyjeździe z tego terytorium obywateli państw członkowskich Unii Europejskiej i członków ich rodzin (Dz. U. Nr 144, poz. 1043)
- ustawa z dnia 9 listopada 2000 r. o repatriacji (tekst jedn. Dz. U. z 2004 r. Nr 53, poz. 532 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 28 czerwca 2001 r. w sprawie określenia wzorów ewidencji i rejestrów prowadzonych w postępowaniu w sprawie repatriacji oraz sposobu przetwarzania danych zawartych w tych ewidencjach i rejestrach (Dz. U. Nr 73, poz. 778 z późn. zm.)
- ustawa z dnia 13 czerwca 2003 r. o udzielaniu cudzoziemcom ochrony na terytorium Rzeczypospolitej Polskiej (Dz. U. Nr 128, poz. 1176 z późn. zm.)
Oświata i szkolnictwo wyższe
- ustawa z dnia 7 września 1991 r. o systemie oświaty (tekst jedn. Dz. U. z 1996 r. Nr 67, poz. 329 z późn. zm.)
- rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. Nr 23, poz. 225 z późn. zm.)
- rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia z dnia 7 września 2004 r. w sprawie warunków i sposobu oceniania, klasyfikowania i promowania uczniów i słuchaczy oraz przeprowadzania sprawdzianów i egzaminów w szkołach publicznych (Dz. U. Nr 199, poz. 2046 z późn. zm.)
- ustawa z dnia 19 lutego 2004 r. o systemie informacji oświatowej (Dz. U. Nr 49, poz. 463 z późn. zm).
- rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia z dnia 16 grudnia 2004 r. w sprawie szczegółowego zakresu danych w bazach danych oświatowych, zakresu danych identyfikujących podmioty prowadzące bazy danych oświatowych, terminów przekazywania danych między bazami danych oświatowych oraz wzorów wydruków zestawień zbiorczych (Dz. U. Nr 277, poz. 2746 z późn. zm.)
- ustawa z dnia 27 lipca 2005 r. - Prawo o szkolnictwie wyższym (Dz. U. Nr 164, poz. 1365 z późn. zm.)
- Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 18 lipca 2005 r. w sprawie dokumentacji przebiegu studiów (Dz. U. Nr 149, poz. 1233)
Praca
- ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy (tekst jedn. Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.)
- rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. Nr 62, poz. 286 z późn. zm.)
- rozporządzenie Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób (Dz. U. Nr 132, poz. 1121)
Ubezpieczenia społeczne, działalność ubezpieczeniowa, fundusze emerytalne
- ustawa z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. Nr 137, poz. 887 z późn. zm.)
- rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 12 marca 1999 r. w sprawie szczegółowego zakresu danych zawartych w centralnych rejestrach prowadzonych przez Zakład Ubezpieczeń Społecznych (Dz. U. Nr 30, poz. 293)
- ustawa z dnia 20 grudnia 1990 r. o ubezpieczeniu społecznym rolników (tekst jedn. z 1998 r. Dz. U. Nr 7, poz. 25 z późn. zm.)
- ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. Nr 124, poz. 1151 z późn. zm.)
- rozporządzenie Ministra Zdrowia z dnia 23 marca 2004 r. w sprawie szczegółowego zakresu i trybu udzielania zakładom ubezpieczeń informacji o stanie zdrowia ubezpieczonych lub osób, na rzecz których ma zostać zawarta umowa ubezpieczenia, oraz sposobu ustalania wysokości opłat za udzielenie tych informacji (Dz. U. Nr 71, poz. 654)
- rozporządzenie Ministra Finansów z dnia 27 listopada 2003 r. w sprawie danych gromadzonych w bazach danych tworzonych przez Polską Izbę Ubezpieczeń (Dz. U. Nr 211, poz. 2057)
- rozporządzenie Ministra Finansów z dnia 31 października 2003 r. w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia (Dz. U. Nr 193, poz. 1889)
- ustawa z dnia 22 maja 2003 r. o pośrednictwie ubezpieczeniowym (Dz. U. Nr 124, poz. 1154 z późn. zm.)
- ustawa z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych (tekst jedn. Dz. U. z 2004 r. Nr 159, poz. 1667 z późn. zm.)
- rozporządzenie Rady Ministrów z dnia 12 maja 1998 r. w sprawie szczegółowych zasad prowadzenia rejestru członków funduszu emerytalnego, szczegółowego zakresu informacji, które powinny być zawarte w rejestrze, oraz zasad sporządzania i przechowywania kopii danych zawartych w rejestrze na wypadek jego utraty (Dz. U. Nr 63, poz. 402 z późn. zm.)
Pomoc społeczna, przeciwdziałanie bezrobociu
- ustawa z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. Nr 64, poz. 593 z późn. zm.)
- ustawa z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (Dz. U. Nr 99, poz.1001 z późn. zm.)
- rozporządzenie Ministra Gospodarki i Pracy z dnia 26 listopada 2004 r. w sprawie rejestracji bezrobotnych i poszukujących pracy (Dz. U. Nr 262, poz. 2607 z późn. zm.)
Ochrona zdrowia
- ustawa z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (Dz. U. Nr 91, poz. 408 z późn. zm.)
- rozporządzenie Ministra Zdrowia z dnia 10 sierpnia 2001 r. w sprawie rodzajów dokumentacji medycznej w zakładach opieki zdrowotnej, sposobu jej prowadzenia oraz szczegółowych warunków jej udostępniania (Dz. U. Nr 88, poz. 966)
- rozporządzenie Ministra Sprawiedliwości z dnia 29 maja 2002 r. w sprawie rodzajów dokumentacji medycznej oraz sposobu jej prowadzenia i udostępniania w zakładach opieki zdrowotnej dla osób pozbawionych wolności (Dz. U. Nr 82, poz. 746)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 1 października 2002 r. w sprawie dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych (Dz. U. Nr 176, poz. 1450)
- ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. Nr 210, poz. 2135 z późn. zm.)
- rozporządzenie Ministra Zdrowia z dnia 28 września 2004 r. w sprawie trybu udostępniania podmiotowi zobowiązanemu do finansowania świadczeń ze środków publicznych do kontroli recept zrealizowanych przez świadczeniobiorców i związanych z tym informacji (Dz. U. Nr 213, poz. 2166)
- rozporządzenie Ministra Zdrowia z dnia 15 grudnia 2004 r. w sprawie sposobu wydawania i określenia wzoru poświadczenia potwierdzającego prawo do świadczeń opieki zdrowotnej (Dz. U. Nr 273 poz. 2718 z późn. zm.)
- rozporządzenie Ministra Zdrowia z dnia 27 lipca 2005 r. w sprawie zakresu niezbędnych informacji gromadzonych w systemie informatycznym Narodowego Funduszu Zdrowia oraz zakresu i sposobu ich przekazywania ministrowi właściwemu do spraw zdrowia oraz wojewodom i sejmikom województw (Dz. U. Nr 152, poz. 1271 z późn. zm.)
- rozporządzenie Ministra Zdrowia z dnia 27 czerwca 2006 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych (Dz. U. Nr 114 poz. 780)
- ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. Nr 111, poz. 535 z późn. zm.)
- ustawa z dnia 5 grudnia 1996 r. o zawodzie lekarza i lekarza dentysty (tekst jedn. Dz. U. z 2005 r. Nr 226, poz. 1943 z późn. zm.)
- ustawa z dnia 6 września 2001 r. o chorobach zakaźnych i zakażeniach (Dz. U. Nr 126, poz. 1384 z późn. zm.)
Rachunkowość, podatki, doradztwo podatkowe
- ustawa z dnia 29 września 1994 r. o rachunkowości (tekst jedn. Dz. U. z 2002 r. Nr 76, poz. 694 z późn. zm.)
- ustawa z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (tekst jedn. Dz. U. Nr 8, poz. 60 z późn. zm.)
- rozporządzenie Ministra Finansów z dnia 24 grudnia 2002 r. w sprawie informacji podatkowych (Dz. U. Nr 240, poz. 2061 z późn. zm.)
- rozporządzenie Ministra Sprawiedliwości z dnia 28 czerwca 2004 r. w sprawie określenia rodzajów i zakresu informacji przekazywanych organom podatkowym przez sądy, komorników sądowych i notariuszy oraz terminu, formy, z uwzględnieniem formy wypisu aktu i sposobu ich przekazywania (Dz. U. Nr 156, poz. 1640)
- rozporządzenie Ministra Finansów z dnia 24 grudnia 2002 r. w sprawie rejestru zastawów skarbowych oraz Centralnego Rejestru Zastawów Skarbowych (Dz. U. Nr 240, poz. 2068 z późn. zm.)
- ustawa z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (tekst jedn. Dz. U. z 2000 r. Nr 14, poz. 176 z późn. zm.)
- ustawa z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (tekst jedn. Dz. U. z 2006 r. Nr 121, poz. 844)
- rozporządzenie Ministra Finansów z dnia 22 kwietnia 2004 r. w sprawie ewidencji podatkowej nieruchomości (Dz. U. Nr 107, poz. 1138)
- ustawa z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (tekst jedn. Dz. U. z 2004 r. Nr 269, poz. 2681 z późn. zm.)
- rozporządzenie z dnia 14 listopada 2003 r. w sprawie wzorów formularzy zgłoszeń identyfikacyjnych (Dz. U. Nr 202, poz. 1959 z późn. zm.)
- ustawa z dnia 5 lipca 1996 r. o doradztwie podatkowym (tekst jedn. Dz. U. z 2002 r. Nr 9, poz. 86 z późn. zm.)
Kontrola państwowa, kontrola skarbowa
- ustawa z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (tekst jedn. Dz. U. z 2001 r. Nr 85, poz. 937 z późn. zm.)
- ustawa z dnia 28 września 1991 r. o kontroli skarbowej (tekst jedn. Dz. U. z 2004 r. Nr 8, poz. 65 z późn. zm.)
- rozporządzenie Prezesa Rady Ministrów z dnia 23 grudnia 2004 r. w sprawie przekazywania wywiadowi skarbowemu informacji o osobie, uzyskanych w wyniku prowadzenia czynności operacyjno-rozpoznawczych (Dz. U. Nr 282, poz. 2802)
Przeciwdziałanie "praniu brudnych pieniędzy", zwalczanie korupcji
- ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o przeciwdziałaniu finansowaniu terroryzmu (tekst jedn. Dz. U. z 2003 r. Nr 153, poz. 1505 z późn. zm.)
- rozporządzenie Ministra Finansów z dnia 21 września 2001 r. w sprawie określenia wzoru rejestru transakcji, sposobu jego prowadzenia oraz trybu dostarczania danych z rejestru Generalnemu Inspektorowi Informacji Finansowej (Dz. U. Nr 113, poz. 1210 z późn. zm.)
- ustawa z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. Nr 104, poz. 708)
Bankowość, obrót instrumentami finansowymi, fundusze inwestycyjne
- ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn. Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.)
- rozporządzenie Ministra Finansów z dnia 20 września 2005 r. w sprawie zakresu przetwarzanych informacji dotyczących osób fizycznych (konsumentów) po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji (Dz. U. Nr 189, poz. 1596)
- ustawa z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. Nr 183, poz. 1538)
- ustawa z dnia 27 maja 2004 r. o funduszach inwestycyjnych (Dz. U. Nr 146, poz. 1546 z późn. zm.)
Ruch drogowy, ewidencja kierowców, transport drogowy, przewozy
- ustawa z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (tekst jedn. Dz. U. z 2005 r. Nr 108, poz. 908 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 sierpnia 2001 r. w sprawie centralnej ewidencji kierowców (Dz. U. Nr 92, poz. 1028 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 19 września 2001 r. w sprawie centralnej ewidencji pojazdów (Dz. U. Nr 106, poz. 1166 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 20 grudnia 2002 r. w sprawie postępowania z kierowcami naruszającymi przepisy ruchu drogowego (Dz. U. Nr 236, poz. 1998 z późn. zm.)
- ustawa z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. Nr 125, poz. 1371 z późn. zm.).
- ustawa z dnia 15 listopada 1984 r. - Prawo przewozowe (tekst jedn. Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.)
Statystyka, archiwa, ściganie zbrodni przeciwko Narodowi Polskiemu
- ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. Nr 88, poz. 439 z późn. zm.)
- rozporządzenie Rady Ministrów z dnia 27 lipca 1999 r. w sprawie sposobu i metodologii prowadzenia i aktualizacji rejestru podmiotów gospodarki narodowej, w tym wzorów wniosków, ankiet i zaświadczeń, oraz szczegółowych warunków i trybu współdziałania służb statystyki publicznej z innymi organami prowadzącymi urzędowe rejestry i systemy informacyjne administracji publicznej (Dz. U. Nr 69, poz. 763 z późn. zm.)
- ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (tekst jedn. Dz. U. z 2002 r. Nr 171, poz. 1396 z późn. zm.)
- rozporządzenie Ministra Kultury z dnia 16 września 2002 r. w sprawie postępowania z dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz. U. Nr 167, poz. 1375)
- ustawa z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz. U. Nr 155, poz. 1016 z późn. zm.)
Telekomunikacja, świadczenie usług drogą elektroniczną
- ustawa z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.)
- ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.)
Działalność publiczna, wybory, referenda
- ustawa z dnia 12 kwietnia 2001 r. - Ordynacja wyborcza do Sejmu Rzeczypospolitej Polskiej i do Senatu Rzeczypospolitej Polskiej (Dz. U. Nr 46, poz. 499 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 marca 2004 r. w sprawie rejestru wyborców oraz trybu przekazywania przez Rzeczpospolitą Polską innym państwom członkowskim Unii Europejskiej danych zawartych w tym rejestrze (Dz. U. Nr 42, poz. 388)
- ustawa z dnia 16 lipca 1998 r. - Ordynacja wyborcza do rad gmin, rad powiatów i sejmików województw (tekst jedn. Dz. U. z 2003 r. Nr 159, poz. 1547 z późn. zm.)
- ustawa z dnia 23 stycznia 2004 r. - Ordynacja wyborcza do Parlamentu Europejskiego (Dz. U. Nr 25, poz. 219)
- ustawa z dnia 14 marca 2003 r. o referendum ogólnokrajowym (Dz. U. Nr 57, poz. 507 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 30 kwietnia 2003 r. w sprawie sposobu sporządzania spisu osób uprawnionych do udziału w referendum ogólnokrajowym (Dz. U. Nr 74, poz. 670)
- ustawa z dnia 15 września 2000 r. o referendum lokalnym (Dz. U. Nr 88, poz. 985 z późn. zm.)
- ustawa z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (tekst jedn. Dz. U. z 2003 r. Nr 221, poz. 2199 z późn. zm.)
- ustawa z dnia 21 sierpnia 1997 r. o ograniczeniu prowadzenia działalności gospodarczej przez osoby pełniące funkcje publiczne (Dz. U. Nr 106, poz. 679 z późn. zm.)
- ustawa z dnia 3 marca 2000 r. o wynagradzaniu osób kierujących niektórymi podmiotami prawnymi (Dz. U. Nr 26, poz. 306 z późn. zm.)
Dostęp do informacji publicznej, działalność prasowa
- ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 z późn. zm.)
- ustawa z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24 z późn. zm.)
Działalność gospodarcza, ewidencja i rejestry
- ustawa z dnia 19 listopada 1999 r. - Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 z późn. zm.)
- ustawa z dnia z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807 z późn. zm.)
- ustawa z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424)
- ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (tekst jedn. Dz. U. z 2001 r. Nr 17, poz. 209 z późn. zm.)
- ustawa z dnia 6 grudnia 1996 r. o zastawie rejestrowym i rejestrze zastawów (Dz. U. Nr 149, poz. 703 z późn. zm.)
Ewidencja gruntów i budynków, księgi wieczyste
- ustawa z dnia 17 maja 1989 r. - Prawo geodezyjne i kartograficzne (tekst jedn. Dz. U. z 2000 r. Nr 100, poz. 1086 z późn. zm.)
- rozporządzenie Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków (Dz. U. Nr 38, poz. 454)
- ustawa z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece (tekst jedn. Dz. U. z 2001 r. Nr 124, poz. 1361 z późn. zm.)
Porządek i bezpieczeństwo publiczne
- ustawa z dnia 6 kwietnia 1990 r. o Policji (tekst jedn. Dz. U. z 2002 r. Nr 7, poz. 58 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 21 lutego 2005 r. w sprawie przetwarzania przez Policję danych osobowych w celach wykrywczych lub identyfikacyjnych (Dz. U. Nr 34, poz. 313)
- rozporządzenie Prezesa Rady Ministrów z dnia 8 marca 2002 r. w sprawie zakresu, warunków i trybu przekazywania Policji informacji o osobie, uzyskanych przez organy uprawnione do wykonywania czynności operacyjno-rozpoznawczych w czasie wykonywania tych czynności, oraz wzoru upoważnienia stanowiącego podstawę udostępnienia policjantom danych osobowych (Dz. U. Nr 24, poz. 245)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 maja 2002 r. w sprawie szczegółowych zasad i trybu wydawania, posługiwania się, przechowywania i ewidencji dokumentów, które uniemożliwiają ustalenie danych identyfikujących policjanta lub osobę udzielającą pomocy Policji oraz środków, którymi posługują się przy wykonywaniu zadań służbowych (Dz. U. Nr 74, poz. 684)
- ustawa z dnia 29 sierpnia 1997 r. o strażach gminnych (Dz. U. Nr 123, poz. 779 z późn. zm.)
- ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. Nr 74, poz. 676 z późn. zm.)
- rozporządzenie Prezesa Rady Ministrów z dnia 26 czerwca 2002 r. w sprawie wzoru imiennego upoważnienia funkcjonariusza Agencji Bezpieczeństwa Wewnętrznego stanowiącego podstawę udostępnienia danych osobowych (Dz. U. Nr 93, poz. 829)
- rozporządzenie Prezesa Rady Ministrów z dnia 26 czerwca 2002 r. w sprawie wzoru imiennego upoważnienia funkcjonariusza Agencji Wywiadu stanowiącego podstawę udostępnienia danych osobowych (Dz. U. Nr 93, poz. 830)
- rozporządzenie Prezesa Rady Ministrów z dnia 3 kwietnia 2003 r. w sprawie zakresu, warunków i trybu przekazywania Agencji Bezpieczeństwa Wewnętrznego informacji uzyskanych w wyniku wykonywania czynności operacyjno-rozpoznawczych przez organy, służby i instytucje państwowe (Dz. U. Nr 70, poz. 643)
- ustawa dnia 12 października 1990 r. o Straży Granicznej (tekst jedn. Dz. U. z 2002 r. Nr 171, poz. 1399 z późn. zm.)
- rozporządzenie Prezesa Rady Ministrów z dnia 6 lutego 2002 r. w sprawie wzoru imiennego upoważnienia do udostępnienia funkcjonariuszowi Straży Granicznej danych osobowych (Dz. U. Nr 17, poz. 156)
- rozporządzenie Prezesa Rady Ministrów z dnia 10 maja 2002 r. w sprawie zakresu, warunków i trybu przekazywania Straży Granicznej informacji o osobie, uzyskanych w wyniku prowadzenia przez uprawnione organy, służby i instytucje czynności operacyjno-rozpoznawczych lub kontroli operacyjnej (Dz. U. Nr 66, poz. 599)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 czerwca 2002 r. w sprawie dokumentów, które uniemożliwiają ustalenie danych identyfikujących funkcjonariusza Straży Granicznej (Dz. U. Nr 100, poz. 915)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 października 2005 r. w sprawie gromadzenia przez Straż Graniczną odcisków linii papilarnych, zdjęć oraz danych osobowych, ich przechowywania, wykorzystywania i przekazywania innym organom (Dz. U. Nr 211, poz. 1763)
- ustawa z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz. U. Nr 110, poz. 1189 z późn. zm.)
- ustawa z dnia 22 sierpnia 1997 r. o bezpieczeństwie imprez masowych (tekst jedn. Dz. U. z 2001 r. Nr 120, poz. 1298 z późn. zm.)
- rozporządzenie Ministra Sprawiedliwości z dnia 29 kwietnia 1998 r. w sprawie szczegółowych zasad i trybu dokonywania wpisów do prowadzonego przez Komendanta Głównego Policji rejestru prawomocnych orzeczeń o ukaraniu karą dodatkową zakazu wstępu na imprezę masową i prawomocnych orzeczeń zobowiązujących do powstrzymania się od przebywania w miejscach przeprowadzania imprez masowych oraz sposobu prowadzenia rejestru (Dz. U. Nr 62, poz. 397)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 października 2004 r. w sprawie wzorów karty rejestracyjnej, karty zapytania i karty odpowiedzi niezbędnych do przekazywania i gromadzenia informacji dotyczących bezpieczeństwa masowych imprez sportowych (Dz. U. Nr 232, poz. 2337)
Przetwarzanie informacji o karalności, postępowanie karne
- ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. Nr 50, poz. 580 z późn. zm.)
- rozporządzenie Ministra Sprawiedliwości z dnia 30 kwietnia 2001 r. w sprawie szczegółowych zasad i sposobu przetwarzania oraz przekazywania danych osobowych zgromadzonych w zbiorach Krajowego Rejestru Karnego do celów statystycznych oraz badań naukowych (Dz. U. Nr 51, poz. 534)
- rozporządzenie Ministra Sprawiedliwości z dnia 7 listopada 2003 r. w sprawie sposobu i trybu sporządzania oraz dostarczania do Krajowego Rejestru Karnego kart rejestracyjnych i zawiadomień (Dz. U. Nr 198, poz. 1928)
- rozporządzenie Ministra Sprawiedliwości z dnia 7 listopada 2003 r. w sprawie gromadzenia danych osobowych i danych o podmiotach zbiorowych w Krajowym Rejestrze Karnym oraz usuwania tych danych z Rejestru (Dz. U. Nr 198, poz. 1929)
- rozporządzenie Ministra Sprawiedliwości z dnia 7 listopada 2003 r. w sprawie udzielania informacji o osobach oraz o podmiotach zbiorowych na podstawie danych zgromadzonych w Krajowym Rejestrze Karnym (Dz. U. Nr 198, poz. 1930 z późn. zm.)
- ustawa z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555 z późn. zm.)
- rozporządzenie Ministra Sprawiedliwości z dnia 11 czerwca 2003 r. w sprawie regulaminu czynności w zakresie przeprowadzania wywiadu środowiskowego oraz wzoru kwestionariusza tego wywiadu (Dz. U. Nr 108, poz. 1018)
- rozporządzenie Ministra Sprawiedliwości z dnia 18 czerwca 2003 r. w sprawie postępowania o zachowanie w tajemnicy okoliczności umożliwiających ujawnienie tożsamości świadka oraz sposobu postępowania z protokołami z zeznań tego świadka (Dz. U. Nr 108, poz. 1024)
- ustawa z dnia 20 czerwca 1985 r. o prokuraturze (tekst jedn. Dz. U. z 2002 r. Nr 21, poz. 206 z późn. zm.)
Usługi detektywistyczne
- ustawa z dnia 6 lipca 2001 r. o usługach detektywistycznych (Dz. U. z 2002 r. Nr 12, poz. 110 z późn. zm.)
Wojsko, służba wojskowa, wywiad i kontrwywiad wojskowy
- ustawa z dnia 21 listopada 1967 r. o powszechnym obowiązku obrony Rzeczypospolitej Polskiej (tekst jedn. Dz. U. z 2004 r. Nr 241, poz. 2416 z późn. zm.)
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 5 maja 1992 r. w sprawie rejestracji przedpoborowych (Dz. U. Nr 40, poz. 173 z późn. zm.)
- rozporządzenie Rady Ministrów z dnia 1 czerwca 2004 r. w sprawie wojskowego obowiązku meldunkowego, obowiązku powiadamiania wojskowego komendanta uzupełnień oraz uzyskiwania zezwolenia na wyjazd i pobyt za granicą (Dz. U. Nr 140, poz. 1480)
- ustawa z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych (Dz. U. Nr 123, poz. 1353 z późn. zm.)
- rozporządzenie Ministra Obrony Narodowej z dnia 14 grudnia 2001 r. w sprawie wzoru upoważnienia do udostępnienia żołnierzom Żandarmerii Wojskowej danych osobowych, uzyskanych przez uprawnione organy, służby i instytucje państwowe w wyniku wykonywania czynności operacyjno-rozpoznawczych lub prowadzenia kontroli operacyjnej (Dz. U. Nr 157, poz. 1853)
- rozporządzenie Ministra Obrony Narodowej z dnia 27 grudnia 2001 r. w sprawie sposobu gromadzenia odcisków linii papilarnych, zdjęć oraz danych osobowych przez Żandarmerię Wojskową (Dz. U. Nr 157, poz. 1859)
- ustawa z dnia 9 czerwca 2006 r. o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego (Dz. U. Nr 104, poz. 709)
3.
Rozważając ochronę danych osobowych na gruncie ustaw innych niż komentowana w tej pracy, należy zaznaczyć, iż niekiedy chodzi tu nie o ustawy "szczególne" czy "branżowe", lecz o inne generalne ustawy lub generalne instytucje prawne, które mogą również (równolegle) chronić dane osobowe.
Powołać tu trzeba przede wszystkim ustawę z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (tekst jedn. Dz. U. z 2005 r. Nr 196, poz. 1631 z późn. zm.). Nie ulega bowiem wątpliwości, że "informacjami niejawnymi" w rozumieniu tej ustawy będą nierzadko także informacje posiadające charakter danych osobowych. Relacje zachodzące pomiędzy tą ustawą a ustawą, której poświęcamy niniejszy komentarz, nie są jednak jasne. W pierwszym rzędzie nasuwają się dwa pytania:
czy ustawa z 1999 r., poza zakresem działania której nie powinno się stawiać a priori szeroko rozumianego przetwarzania danych osobowych, przewidziała - odwołajmy się tu do kryterium z art. 5 u.o.d.o. - dalej idącą ich ochronę niż ta, która wynika z komentowanej ustawy z 1997 r., a jeśli tak, to
czy zwrot przewidujący, iż należy wówczas stosować przepisy "ustawy posiadającej dalej idącą ochronę" oznacza, że ustawa z 1997 r. w ogóle nie będzie już w danej dziedzinie znajdowała zastosowania, czy też że nie będą wykorzystywane tylko te jej przepisy, w zakresie których można dopatrzyć się kolizji z przepisami owej "dalej idącej ustawy".
Naszym zdaniem należy przyjąć, iż ustawa o ochronie informacji niejawnych wprowadza w stosunku do ustawy o ochronie danych osobowych dalej idącą ochronę, jeśli chodzi o te dane osobowe, które stanowią tajemnicę państwową lub służbową (a więc mają status informacji niejawnych). W związku z tym - w myśl art. 5 u.o.d.o. - pierwszeństwo w tym zakresie należy przyznać ustawie o ochronie informacji niejawnych. Owo pierwszeństwo nie sprowadza się jednak do aspektów "utajniania" informacji, aspektów związanych z ograniczaniem osobom trzecim dostępu do informacji czy też stosowania szeroko rozumianych środków zabezpieczenia. Należy przyjąć, iż obejmuje ono także inne sfery, w tym sferę uprawnień osób, których informacja dotyczy. Ustawa z 1999 r. w żaden sposób nie uprzywilejowuje osób, których dotyczą informacje niejawne. W stosunku do wszystkich formułuje zasadę (w art. 3), że informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo innej zleconej pracy. W konsekwencji, w przypadku przetwarzania danych osobowych stanowiących równocześnie informację niejawną, ci, których dane te dotyczą, nie będą mogli powoływać się i korzystać na przykład z uprawnień przyznanych im w art. 24, 25, 32-35 u.o.d.o. Na tej samej w istocie podstawie nie powinny znajdować zastosowania przepisy gwarantujące w interesie osób trzecich swobodę dostępu do zbiorów danych osobowych (art. 29-30). Nie byłby chyba przy tym trafny argument, iż relacja między omawianymi ustawami została już przesądzona w art. 30 komentowanej ustawy, gdyż przepis ten wyraźnie wspomina o tajemnicy państwowej, a więc o oznaczonej kategorii informacji niejawnej. Tego rodzaju rozumowanie mogłoby bowiem prowadzić do wniosku, że administrator nie może odmówić udostępnienia takich danych osobowych, które stanowią tajemnicę służbową (argument a contrario w stosunku do art. 30 pkt 1).
Brak jest podstaw i uzasadnienia, aby zbiory danych osobowych spełniających równocześnie kryteria informacji niejawnych postawić poza zakresem uprawnień kontrolnych przyznanych Generalnemu Inspektorowi Ochrony Danych Osobowych (chodzi zwłaszcza o przepisy art. 14-19 u.o.d.o.). Natomiast - stosownie do art. 4 ust. 2 ustawy o ochronie informacji niejawnych - jeśli zakres kontroli dotyczy informacji niejawnych, kontrola ta, a w szczególności dostęp do pomieszczeń i materiałów, powinna być realizowana z zachowaniem przepisów tej ustawy.
Zgodnie z art. 43 u.o.d.o. z obowiązku rejestracji zwolnieni są administratorzy zbiorów, w których zawarte są dane objęte tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego. W świetle powołanego przepisu powinna natomiast zostać dokonana rejestracja zbiorów, w których dane osobowe mają charakter tajemnicy służbowej.
4.
Dane osobowe i ich zbiory stanowić mogą także tajemnicę przedsiębiorstwa w rozumieniu art. 11 ustawy o zwalczaniu nieuczciwej konkurencji. Sama ta okoliczność nie może zmieniać zasad ich zbierania, czy szerzej - przetwarzania, ustalonych w ustawie o ochronie danych osobowych. Poza tym fakt, że ktoś zbiór danych osobowych "utajnia", chce z niego czerpać wyłącznie dla siebie korzyści i czyni go tajemnicą przedsiębiorstwa, nie wpływa na uprawnienia osób, których dane dotyczą. Jeżeli zaś chodzi o samą ochronę danych, to przybiera ona postać ochrony kumulowanej, opartej równocześnie na dwóch różnych reżimach prawnych. Co zaś dotyczy udostępniania danych osobowych (regulowanego w art. 29 i 30 u.o.d.o.), to racjonalne wydaje się przyjęcie, iż w omawianych sytuacjach obowiązek udostępnienia powinien występować tylko w przypadku podanym w art. 29 ust. 1.
Ochrona kumulowana występuje w odniesieniu do danych osobowych i ich zbiorów również wówczas, gdy stanowią one przedmiot tajemnicy zawodowej. Odmowę udostępniania takich danych można wywodzić zarówno z przepisów ustanawiających określoną tajemnicę zawodową, jak i z przepisów ustawy o ochronie danych osobowych odwołując się czy to do art. 29 ust. 2 (wykazując, że udostępnienie prowadziłoby do naruszenia praw i wolności osób, których dane dotyczą), czy to do art. 30 pkt 4 (w którym odmowa uzasadniona jest istotnym naruszeniem dóbr osobistych osób, których dane dotyczą).
D.Prawo polskie a prawo wspólnotowe (zgodność polskiego ustawodawstwa z dyrektywą w sprawie ochrony danych osobowych)
Uwagi wprowadzające
1.
Celem rozważań zawartych w niniejszym fragmencie Wstępu jest przede wszystkim zbadanie, w jakim stopniu przepisy prawa polskiego odpowiadają tym regulacjom, które wyznaczają odpowiednie standardy we Wspólnotach Europejskich. Należy mieć przy tym świadomość, że zbliżanie ochrony danych osobowych nie jest wyraźnie objęte wykazem zamieszczonym w przepisie art. 69 Układu Europejskiego ustanawiającego stowarzyszenie między Rzecząpospolitą Polską, z jednej strony, a Wspólnotami Europejskimi i ich Państwami Członkowskimi, z drugiej strony, z dnia 16 grudnia 1991 r. (załącznik do Dz. U. z 1994 r. Nr 11, poz. 38), określanego skrótowo jako Układ Stowarzyszeniowy; przepis ten wymienia dziedziny posiadające priorytetowy charakter, jeśli chodzi o harmonizację prawa polskiego z prawem wspólnotowym. Nie można tego jednak rozumieć jako zwolnienia od potrzeby dostosowania w tym zakresie prawa polskiego do standardów europejskich, tym bardziej że można bronić zdania, iż przynajmniej w części chodzi tu o uwzględnioną w art. 69 Układu Stowarzyszeniowego dziedzinę ochrony praw konsumenta. Warto wspomnieć także o tym, że traktat o przystąpieniu Polski do Unii Europejskiej (tzw. traktat akcesyjny) nie zawiera postanowień odnoszących się do problematyki ochrony danych osobowych. Jednakże Polska od dnia przystąpienia do Unii jest związana prawem wspólnotowym (a więc także postanowieniami dyrektywy 95/46/WE), które wywiera bezpośredni skutek i ma pierwszeństwo przed ustawami krajowymi (z wyjątkiem Konstytucji).
Zaznaczmy również w tym miejscu, że wymieniona dyrektywa powinna być uwzględniana przy wykładni polskiego prawa jeszcze przed akcesją Polski do Unii Europejskiej. Tezę tę usprawiedliwiają następujące istotne okoliczności.
Po pierwsze, założeniem polskiej ustawy było inkorporowanie zasad wyrażonych w dyrektywie.
Po drugie, stosownie do art. 68 Układu Stowarzyszeniowego: "Umawiające się strony uznają, że istotnym warunkiem wstępnym integracji gospodarczej Polski ze Wspólnotami jest zbliżenie istniejącego i przyszłego ustawodawstwa Polski do ustawodawstwa istniejącego we Wspólnotach. Polska podejmie najlepsze starania w celu zapewnienia zgodności jej przyszłego ustawodawstwa z ustawodawstwem Wspólnot".
Należy przyjąć, że zbliżanie prawa polskiego do prawa Wspólnot Europejskich może być dokonywane zarówno poprzez odpowiednią zmianę przepisów prawnych, jak i w drodze orzecznictwa sądowego. Posłużenie się tą drugą metodą jest jednak możliwe tylko w tych przypadkach, gdy przepisy prawne są na tyle niedookreślone, że usprawiedliwiona staje się kompetencja sądu do takiej ich interpretacji, która jest zgodna z prawem (z dyrektywami) Wspólnot Europejskich. W takim kontekście oczywiście prawo Unii nie ma dla sądu polskiego charakteru źródła prawa; niemniej może być powoływane jako "mocne uzasadnienie" - w ramach wykładni funkcjonalnej - dla przyjętego rozstrzygnięcia, odpowiadającego rozwiązaniom prawnym przyjmowanym w Unii Europejskiej . Jednakże w konkretnych, szczególnych przypadkach, mimo "luzów interpretacyjnych" pozostawionych przez daną normę, racje społeczno-gospodarcze istniejące po stronie Polski przemawiać mogą - jak zgodnie podkreśla się w polskiej literaturze prawniczej - za odrzuceniem takiej "europejskiej wykładni" .
2.
Porównanie polskiej ustawy z dnia 25 sierpnia 1997 r. o ochronie danych osobowych z dyrektywą Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych pozwala dostrzec wiele różnic występujących pomiędzy tymi aktami prawnymi. Zanim jednak przejdziemy do ich wskazania, należy stwierdzić, iż w istotnej części ustawa polska jest zharmonizowana z rozwiązaniami przyjętymi w dyrektywie, zwłaszcza po dwóch obszernych nowelizacjach dokonanych w latach 2001 i 2004. Analogiczne są przy tym funkcje ustawy i dyrektywy. W obu przypadkach chodzi o ochronę słusznych interesów osób fizycznych w związku z przetwarzaniem dotyczących ich danych osobowych .
Trzeba równocześnie podkreślić, że wprowadzenie ujednoliconej ochrony w omawianym zakresie na obszarze Unii Europejskiej stanowi konieczny warunek - jak podkreślono w pkt 3 i 7 preambuły dyrektywy - do zapewnienia swobodnego przepływu towarów, usług i osób pomiędzy krajami Wspólnoty, bowiem przepływowi temu niejednokrotnie towarzyszy niezbędne przekazywanie danych osobowych.
3.
Rozpatrzmy obecnie, jak przedstawiają się granice swobody kształtowania treści ustaw krajowych w świetle dyrektywy .
Dyrektywa nie przewiduje ani wprowadzenia jednolitego prawa odnoszącego się do ochrony zbiorów danych osobowych, ani też wymogu jednolitych ustaw krajowych, lecz w istocie formalnie jedynie wprowadza minimalne standardy w tym zakresie . Wprawdzie są one w znacznym stopniu uszczegółowione, jednak margines swobody kształtowania prawa krajowego jest relatywnie znaczny.
Wyraźne postanowienia upoważniające do "krajowego kształtowania" granic ochrony zawierają przepisy art. 8, 9, 11, 13, 14, 18-21 i 24 dyrektywy. Chodzi tu m.in. o możność ustanowienia "własnych regulacji" w odniesieniu do:
specjalnych kategorii danych, określanych często jako "dane wrażliwe", w zakresie dopuszczalnych granic ich przetwarzania ze względu na uzasadnione interesy pracodawcy względem pracowników oraz względy interesu publicznego;
numerów identyfikacyjnych;
zasad powiadamiania osób, których dane dotyczą, o fakcie zbierania informacji ich dotyczących;
ograniczeń ochrony przewidzianej w art. 6(1), 10, 11(1), 12 i 21 ze względu na interes publiczny, bezpieczeństwo publiczne, interesy ekonomiczne kraju, ochronę praw i wolności osoby, której dane dotyczą, lub osób trzecich ;
ograniczenia dostępu do danych osobowych w przypadku ich przetwarzania w celach badawczych lub statystycznych;
sposobu powiadamiania o uprawnieniach związanych z możliwością sprzeciwiania się zainteresowanego przetwarzaniu "jego" danych osobowych;
sytuacji, w których dopuszczalne jest podjęcie decyzji dotyczącej danej osoby wyłącznie na podstawie automatycznego przetwarzania danych jej dotyczących.
Odrębną samodzielną podstawę dla "własnych" krajowych regulacji stanowi przepis art. 5 dyrektywy, który wyraźnie upoważnia kraje członkowskie do formułowania szczególnych warunków przetwarzania danych, w granicach przewidzianych dyrektywą.
Wydaje się, że pomimo zakreślenia relatywnie szerokiej swobody w kształtowaniu ochrony danych osobowych w krajach Unii Europejskiej, regulacja w tym zakresie ulegnie w wyniku wydania dyrektywy zasadniczemu ujednoliceniu. W szczególności, jak podkreśla Poullet , postanowienia w sprawie swobodnego przepływu danych osobowych między krajami członkowskimi powodują, że ze względu na łatwość obejścia krajowego zakazu nie byłoby racjonalne wprowadzanie wyższego standardu ochrony niż minimalny, przewidziany dyrektywą. Zwrócić należy też uwagę na postanowienia dyrektywy (art. 29 i 30) dotyczące Working Party on the protection of Individuals with regard to the Processing of Personal Data, które zapewniają wzajemne zbliżanie się ustaw krajowych. Jedną z form działania tego organu jest wydawanie stosownych dokumentów, w tym rekomendacji , a także informowanie Komisji o zaistnieniu istotnych różnic w poziomie ochrony danych osobowych w krajach członkowskich.
4.
Wątpliwości co do harmonizacji prawa polskiego z prawem wspólnotowym powstawać mogą natomiast w kontekście tych norm ustawy, które zawierają upoważnienie do określonego działania związanego z przetwarzaniem danych osobowych, działania wkraczającego w prawa osobiste. Chodzi tu o zastrzeżenia odwołujące się do "zezwoleń na podstawie innych przepisów prawa". Stykamy się z tym chociażby w:
art. 25 (obowiązek poinformowania osoby, której dane są zbierane, nie powstaje wtedy, gdy... przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą);
art. 27 (dozwolone jest przetwarzanie danych "wrażliwych" bez zgody zainteresowanego, gdy przepis szczególny innej ustawy na to zezwala).
Otóż należy wyraźnie stwierdzić, że tego rodzaju możliwości szerokiego posługiwania się generalnymi odesłaniami do innych ustaw nie znajdujemy w dyrektywie. Wręcz przeciwnie, w omawianych typach sytuacji podawany jest zamknięty katalog przypadków uprawniających do określonych działań (por. odpowiednio art. 11 i 8 dyrektywy).
5.
Rozpatrując w powyższym kontekście kwestie zgodności polskiego ustawodawstwa z dyrektywą nasuwają się następujące uwagi.
Powołane przepisy ustawy wykraczają formalnie poza granice wytyczone w dyrektywie. Niemniej, wydaje się, można bronić stanowiska o zgodności ustawy z dyrektywą z dwóch względów. Po pierwsze, wydane w Polsce ustawy dotyczące wskazanych wyżej kwestii w istocie nie wykraczają poza generalne, merytoryczne granice określone w dyrektywie. Stąd też nie można stwierdzić, aby obowiązujące w Polsce przepisy pozwalały wyraźnie na przetwarzanie danych poza granicami przewidzianymi dyrektywą. Po drugie - stosownie do art. 31 ust. 3 Konstytucji - "Ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego bądź dla ochrony środowiska, zdrowia i moralności publicznej albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw". Nadto, według art. 51 ust. 2 Konstytucji, "Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż jest to niezbędne w demokratycznym państwie prawnym".
Dla potrzeb tego opracowania nie jest konieczne ustalenie (niezwykle spornej, niejednoznacznej) relacji pomiędzy powołanymi wyżej przepisami Konstytucji. Ważne jest bowiem tylko to, że przepisy te ustanawiają istotne ograniczenia w wydawaniu ustaw, do których odwołuje się obowiązujący obecnie w Polsce akt normatywny o ochronie danych osobowych, a które to ustawy mogłyby w konsekwencji prowadzić do ustanowienia w naszym kraju ochrony danych osobowych na poziomie niższym niż to przewiduje dyrektywa.
Podstawowe pojęcia - zakres stosowania
6.
Można przyjąć, iż znaczenie podstawowych pojęć, rzutujące na przedmiotowy zakres stosowania regulacji, jest w dyrektywie i ustawie niemal identyczne. I tak w obydwu przypadkach stosowane jest szerokie rozumienie terminu "dane osobowe" (personal data), obejmujące wszystkie informacje odnoszące się do oznaczonej lub możliwej do oznaczenia osoby fizycznej, jak i nadawane jest szerokie rozumienie pojęciu "przetwarzania" danych osobowych (processing); termin ten w dyrektywie obejmuje następujące operacje: wprowadzanie, magazynowanie lub łączenie danych, ich zmienianie, używanie lub komunikowanie, łącznie z transmisją, rozpowszechnianiem, zabezpieczaniem, poprawianiem i usuwaniem. Takie ujęcie nie odbiega od tego, z jakim stykamy się w art. 7 pkt 2 ustawy.
W sposób bardzo zbliżony definiowana jest w ustawie i dyrektywie kategoria "administratora danych" (controller). Należy jednak odnotować, iż do ustawy polskiej nie przeniesiono rozwiązania występującego w dyrektywie, według którego w przypadkach, gdy cel i środki przetwarzania danych wyznaczone zostają nie przez oznaczoną osobę fizyczną lub prawną, lecz wynikają z przepisów prawa (lub postanowień administracyjnych), wówczas przepisy mogą wskazać administratora bądź określić specjalne kryteria, według jakich ma być on wyznaczony. A. Mednis podaje urząd statystyczny jako przykład tego rodzaju administratora .
Pewnej różnicy między prawem polskim i wspólnotowym można dopatrywać się ewentualnie również w pojmowaniu zgody (zezwolenia) na przetwarzanie danych (the data subject’s consent). Dyrektywa przewiduje tu bardziej liberalne podejście, gdyż - jak się przyjmuje - dopuszcza wyrażenie zgody w sposób konkludentny (zgodą może być bowiem: "any freely given specific and informed indication of his wishes, by which the data subject signifies his agreement to personal data relating to him being processed"). Natomiast ustawa polska zastrzega, iż "zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści"; można twierdzić, że brak tu aprobaty ustawodawcy dla zgody wyrażonej per facta concludentia.
W sposób zbliżony definiowana jest w ustawie i dyrektywie kategoria "zbioru danych osobowych" ("systemu ewidencjonowania danych osobowych"), określana w dyrektywie terminem filing system. Postanowienie art. 2 lit. c) stwierdza, że takim zbiorem (systemem) jest jakikolwiek zorganizowany zbiór danych osobowych, dostępnych po spełnieniu pewnych kryteriów, niezależnie od tego, czy jest on scentralizowany czy zdecentralizowany lub usytuowany na zasadzie funkcjonalnej albo geograficznej. Zgodnie z art. 3 ust. 1 dyrektywy ma ona zastosowanie wyłącznie do przetwarzania danych, które już stanowią lub mają stanowić część filing system . W podobny sposób należałoby interpretować, w naszym przekonaniu, treść art. 2 ustawy, choć redakcja tego przepisu budzi jednak pewne wątpliwości. W szczególności treść art. 2 ust. 2, który odwołuje się także do wykazów i zbiorów ewidencyjnych, może wywoływać wrażenie, że zakres stosowania ustawy wykracza poza wykorzystanie danych osobowych w "zbiorach danych", definiowanych podobnie jak filing system. Trzeba jednak dodać, iż także pojęciu filing system nadaje się w komentarzach do dyrektywy rozszerzające znaczenie.
7.
Oprócz wspólnego ustawie i dyrektywie wyłączenia spod zakresu ich działania przetwarzania danych przez osobę fizyczną w celach osobistych i domowych ("by a natural person in the course of a purely personal or household activity") , dyrektywa nie znajduje zastosowania (art. 3 ust. 2) w odniesieniu do przetwarzania danych osobowych, które będzie służyło bezpieczeństwu publicznemu, obronności, bezpieczeństwu państwowemu (w tym gospodarczemu dobrobytowi państwa, gdy proces przetwarzania dotyczy spraw bezpieczeństwa tego państwa) oraz działalności państwa w sferze prawa karnego. W ustawie polskiej brak jest analogicznego generalnego wyłączenia.
Szczególne wątpliwości budzić może art. 2 ust. 3 polskiej ustawy, który przewiduje, że w przypadku "zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych lub poddanych anonimizacji mają zastosowanie jedynie przepisy rozdziału 5 dotyczącego zabezpieczenia danych". Regulacja ta, która nie ma odpowiednika w dyrektywie, jest - w naszym przekonaniu - z nią niezgodna.
8.
Jeśli chodzi o podmiotowy zakres stosowania regulacji, to można wskazać pewne różnice. W dyrektywie obejmuje on podmioty, które przetwarzają dane w kontekście działalności gospodarczej prowadzonej na terytorium państwa członkowskiego, oraz podmioty, które nie prowadzą działalności gospodarczej na terytorium Wspólnoty, ale przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na tym terytorium. Polska ustawa znajduje zastosowanie do podmiotów mających siedzibę albo miejsce zamieszkania na terytorium naszego kraju, albo w państwie trzecim (państwie nienależącym do Europejskiego Obszaru Gospodarczego), o ile dane osobowe przetwarzane są przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski.
Istotne znaczenie w tym kontekście posiada specjalna definicja siedziby zawarta w preambule dyrektywy (pkt 19), umożliwiająca objęcie jej działaniem szerszego kręgu podmiotów, niż wynika to z polskiej ustawy. Głównym kryterium pozwalającym oznaczyć siedzibę jest - według dyrektywy - miejsce, gdzie występuje efektywne i rzeczywiste (realne) wykonywanie określonej działalności w sposób stały; nie ma natomiast decydującego znaczenia status prawny tego rodzaju działalności, a więc to, czy jest ona prowadzona przez jednostkę podporządkowaną (subsidiary), przez oddział czy filię posiadającą osobowość prawną.
Porównywane tu akty prawne poza zakresem zainteresowania pozostawiają przypadki, gdy urządzenia techniczne wykorzystywane są jedynie do tranzytu (przesyłu) przez dane terytorium.
Podstawowe zasady przetwarzania danych osobowych
9.
Artykuł 6 dyrektywy formułuje pięć podstawowych zasad dotyczących przetwarzania danych osobowych; jego odpowiednikiem jest przepis art. 26 ustawy. Różnice dotyczą następujących zagadnień.
Po pierwsze, dyrektywa nie poprzestaje na zastrzeżeniu, iż przetwarzanie danych osobowych ma być prowadzone w sposób zgodny z prawem i dla zgodnych z prawem celów, ale stawia też wymóg, aby odbywało się to "sprawiedliwie" (uczciwie), "w dobrej wierze" ("fairly and lawfully", "loyalement et licitement", "nach Treu und Glaube und auf rechtmassige Weise" - art. 6 ust. 1 lit. a).
Po drugie, ustawa nie wprowadza tak rozbudowanego jak dyrektywa obowiązku dbania o rzetelność danych (art. 6 ust. 1 lit. d); dane - według dyrektywy - powinny być merytorycznie prawdziwe, ścisłe (accurate, exactes) oraz, jeśli to potrzebne, aktualne, uwzględniające najnowszy stan. Powinny też być podjęte wszelkie stosowne - z perspektywy celu, dla którego dane są zbierane i udostępniane - środki, aby dane nieścisłe i niepełne były poprawiane lub usuwane. Ustawa polska stawia w tym miejscu tylko ogólny wymóg "merytorycznej poprawności danych" (art. 26 ust. 1 pkt 3).
Szczegółowe przesłanki legalizujące przetwarzanie danych podaje art. 7 dyrektywy, z którym koresponduje art. 23 ustawy. Dostrzec tu można dwie istotne różnice ujawniające się przy porównaniu treści wymienionych przepisów.
Po pierwsze, art. 23 ust. 1 pkt 2 ustawy po nowelizacji dokonanej w 2004 r. dopuszcza przetwarzanie danych osobowych, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W dyrektywie odpowiednikiem tego przepisu jest art. 7 lit. c), który jednak odnosi się jedynie do przetwarzania danych, które jest konieczne dla spełnienia obowiązków prawnych nałożonych na administratora. Powstaje w związku z tym wątpliwość, czy wskazana powyżej podstawa dopuszczalności przetwarzania danych zawarta w polskiej ustawie nie została sformułowana zbyt szeroko.
Po drugie, art. 23 ust. 1 pkt 5 ustawy, upoważniający do przetwarzania danych do wypełnienia usprawiedliwionych celów administratora danych, jest bardziej restryktywny niż odpowiedni przepis dyrektywy. Stosownie do przepisów prawa polskiego działanie prowadzone dla wspomnianych celów jest dopuszczalne tylko wówczas, gdy nie narusza praw i wolności osoby, której dane dotyczą. Tymczasem według przepisów dyrektywy (art. 7 pkt f) postępowanie takie nie jest dozwolone tylko wówczas, gdy podstawowe prawa i wolności jednostki związane z przetwarzaniem danych osobowych przewyższają (overriden) uzasadnione interesy administratora danych, a więc w konkretnym przypadku posiadają od nich większą wagę.
Dane wrażliwe
10.
Katalog danych wrażliwych (sensytywnych), jaki podaje ustawa polska, jest obszerniejszy od występującego w dyrektywie. Nie wyszczególnia ona danych odnoszących się do:
przynależności partyjnej,
przynależności wyznaniowej,
kodu genetycznego,
nałogów.
O ile jeszcze można wykazywać, iż dane dotyczące kodu genetycznego i nałogów dają się objąć ogólną kategorią "danych o zdrowiu" występującą w dyrektywie - choć jest to wykładnia dyskusyjna - to już nie można chyba uważać, że dane o poglądach politycznych w każdym przypadku rozciągają się zawsze na dane o przynależności partyjnej, i podobnie dane o przekonaniach religijnych - na dane o przynależności wyznaniowej.
Natomiast jeśli chodzi o przetwarzanie danych wrażliwych, można uznać, iż polska ustawa wprowadza zbyt szerokie zezwolenia w tym zakresie. Chodzi tu przede wszystkim o postanowienie art. 27 ust. 2 pkt 2 u.o.d.o., według którego przetwarzanie tego rodzaju danych jest dozwolone w każdym przypadku, gdy przepis szczególny innej ustawy zezwala na to bez zgody osoby, której dane dotyczą, a równocześnie stworzone są pełne gwarancje ochrony tych danych. Tymczasem dyrektywa zezwala - poza kazuistycznie wymienionymi w art. 8 ust. 2 przypadkami - na ograniczenie praw jednostki w sferze przetwarzania danych wrażliwych tylko ze względu na istotny interes publiczny (art. 8 ust. 4 dyrektywy); ograniczenie to może nastąpić bądź na drodze wydania odpowiedniego przepisu, bądź poprzez decyzję organu kontrolnego.
Nadto w odniesieniu do przetwarzania tego rodzaju danych przez fundacje, kościoły i inne podmioty określone w art. 27 ust. 2 pkt 4 u.o.d.o. dyrektywa wprowadza dodatkowe ograniczenie, zabraniające udostępniania tych danych osobom trzecim bez zgody zainteresowanej jednostki . Ustawa polska jest o tyle bardziej surowa, że przewiduje wymóg "pisemnej" zgody na przetwarzanie danych sensytywnych, podczas gdy dyrektywa stanowi tylko o "wyraźnej" zgodzie.
Obowiązek informowania jednostki w związku ze zbieraniem dotyczących jej danych
11.
Problematykę zakresu udzielania informacji tym podmiotom, na temat których są przetwarzane (zbierane) dane osobowe, reguluje art. 10 i 11 dyrektywy oraz art. 24 i 25 u.o.d.o. Tak w jednym, jak i w drugim przypadku odrębnie potraktowano przypadki bezpośredniego zbierania danych (od osoby) i przypadki zbierania pośredniego (z innych źródeł).
Rozbieżności pomiędzy polską ustawą a dyrektywą dopatrzyć się można w zwolnieniu w prawie polskim administratora od obowiązków informacyjnych:
przy zbieraniu danych bezpośrednio, wtedy gdy: ustawa zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania (art. 24 ust. 2);
przy zbieraniu danych pośrednio, wtedy gdy: ustawa przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane te dotyczą (art. 25 ust. 2 pkt 1).
Należy tu zaznaczyć, że przepisy dyrektywy dopuszczają wprawdzie wprowadzenie w ustawie ograniczeń w zakresie omawianego uprawnienia (art. 13 ust. 1), lecz przewidują, że może to nastąpić tylko w imię ochrony wyraźnie wymienionych podstawowych interesów (chodzi w szczególności o bezpieczeństwo państwa, obronność, bezpieczeństwo publiczne, zapobieganie i ściganie czynów przestępnych, ważne gospodarcze lub finansowe interesy kraju członkowskiego Unii Europejskiej, ochronę osób, których dane dotyczą, oraz praw i wolności innych osób). Nie przesądzając, czy wydane w Polsce ustawy już przekroczyły granice przewidziane w dyrektywie, należałoby rozważyć zawężenie odpowiednich postanowień zgodnie z dyrektywą.
Poza tym regulacja zawarta w dyrektywie wydaje się mniej rygorystyczna.
Po pierwsze, bezwzględny obowiązek informacyjny dotyczy jedynie identyfikacji administratora danych oraz celu przetwarzania. Natomiast przy bezpośrednim zbieraniu danych obowiązek informowania o niektórych okolicznościach (o przewidywanych odbiorcach danych, o tym, czy udzielenie odpowiedzi jest obowiązkowe i jakie są ewentualnie skutki odmowy, o istnieniu uprawnień w sprawie sprostowania oraz dostępu do dotyczących osoby danych) wprowadzony jest tylko wtedy, gdy jest to konieczne w kontekście szczególnych warunków, w jakich ma miejsce zbieranie danych, po to, aby zapewnić uczciwe (prowadzone "w dobrej wierze") względem zainteresowanego przetwarzanie "jego danych" ("to guarantee fair processing in respect of the data subject"; "um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewahrleisten"). Podobnie jest przy pośrednim zbieraniu danych, z tym że tu analogiczny warunek odnosi się do następujących informacji: rodzaje danych, które będą przetwarzane, przewidywani odbiorcy danych, istnienie uprawnień w sprawie sprostowania oraz dostępu do dotyczących osoby danych.
Po drugie, w przypadku pośredniego zbierania danych, dyrektywa wyłącza działanie przepisu wprowadzającego obowiązki informacyjne, gdy dotarcie z tymi informacjami do zainteresowanego jest niemożliwe lub wymaga poważnych (nieproporcjonalnych) nakładów. Analogicznego zwolnienia nie wprowadza ustawa polska. Na jej gruncie natomiast podobna okoliczność (spełnienie określonych wymagań wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania) ma znaczenie tylko wtedy, gdy dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, a ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą.
Prawo jednostki do informacji (dostęp do dotyczących jej zbiorów danych i kontrola ich przetwarzania)
12.
W swych głównych założeniach treść art. 32 u.o.d.o. w tym zakresie, w którym odnosi się do prawa dostępu jednostki do własnych danych osobowych, jest zgodna z wymogami przewidzianymi w art. 12-14 dyrektywy . Można jednak uznać, iż w prawie polskim zakres uprawnień jednostki został nieco szerzej czy bardziej szczegółowo ujęty (mamy na myśli np. uzyskanie informacji, od kiedy przetwarza się w zbiorze dane dotyczące określonej osoby czy informacji o sposobie udostępniania danych). Ustawa pomija jednak zastrzeżenie zawarte w dyrektywie, że uzyskanie informacji powinno nastąpić bez nieuzasadnionego opóźnienia oraz nadmiernych kosztów ("without constraint at reasonable intervals and without excessive dealy or expense").
Przechodząc do problematyki kontroli przetwarzania danych osobowych należy stwierdzić, że w polskiej ustawie zbyt szeroko - na tle art. 13 ust. 2 dyrektywy - został także ujęty art. 32 ust. 4 u.o.d.o. Stanowi on, iż jeżeli dane są przetwarzane do celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem. Natomiast w myśl dyrektywy dozwolone jest ustawowe ograniczenie uprawnień informacyjnych zainteresowanego wtedy, gdy dane są wykorzystywane do celów badań naukowych lub przechowywane są nie dłużej niż jest to konieczne dla sporządzenia statystyki ; nie została uwzględniona - przewidziana w polskiej ustawie - możliwość odmowy przekazania informacji w przypadku wykorzystywania danych do celów dydaktycznych i archiwalnych.
Dodajmy, że redakcja art. 32 ust. 1 pkt 6 i art. 35 ustawy budzić może wątpliwości interpretacyjne. Chodzi tu o stwierdzenie, czy w przypadku gdy dane osobowe są niekompletne lub nieaktualne, zainteresowany może żądać - tak jak wskazywałaby literalna treść przepisu - także ich usunięcia, czy tylko - jak można wnioskować z treści art. 12 lit. b) dyrektywy - domagać się ich stosownego poprawienia (na co mogłoby wskazywać zastrzeżenie as appropriate na początku tego postanowienia).
Indywidualne decyzje w oparciu o automatyczne przetwarzanie danych osobowych
13.
Do czasu dokonania nowelizacji w 2001 r. zasadniczą lukę w polskiej ustawie o ochronie danych osobowych stanowił brak zakazu w sprawie podejmowania indywidualnych decyzji w oparciu o automatyczne przetwarzanie danych osobowych. Obecnie zharmonizowany z założeniami dyrektywy (art. 15) przepis art. 26a ust. 1 ustawy stanowi: "Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym". Zakaz ten nie znajduje zastosowania tylko wówczas, gdy rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą.
Korzystną w tym kontekście zmianę w zakresie zgodności przepisów polskiej ustawy z dyrektywą przyniosła także nowelizacja z 22 stycznia 2004 r., na mocy której dodano do ustawy art. 32 ust. 1 pkt 5a. Zgodnie ze wskazanym tu przepisem, osoba, której dotyczy indywidualne rozstrzygnięcie podjęte w oparciu o automatyczne przetwarzanie danych, ma prawo do uzyskania informacji o przesłankach podjęcia tego rozstrzygnięcia. Nowy przepis stanowi odpowiednik stosownego uprawnienia, które zostało przewidziane w art. 12 lit. a)in fine dyrektywy.
Ochrona danych osobowych a wolność prasy i swoboda twórcza
14.
Zajmując się ochroną danych osobowych dyrektywa dostrzega pozostającą w stosunku do tego w pewnej opozycji kwestię wolności prasy. Regulacja zawarta w dyrektywie nie tylko upoważnia, lecz także wyraźnie zaleca, aby kraje członkowskie ze względu na funkcjonowanie prasy i innych mediów wprowadziły odstępstwa od zasad przyjętych w dyrektywie. Mogą tego dokonać, ale tylko w tym zakresie, w jakim jest to konieczne do pogodzenia ochrony prawa do prywatności z normami przyjętymi w kwestii wolności prasy i informacji. Przepis art. 9 dyrektywy zawiera wymóg, aby kraje członkowskie wprowadziły wyjątki od przewidzianych w dyrektywie zasad ochrony danych osobowych w przypadku przetwarzania takich danych wyłącznie do celów dziennikarskich (co obejmować ma też prasowych reporterów i fotografów) oraz do działalności literackiej lub artystycznej ("for journalistic purposes or the purpose of artistic or literary expression"), lecz tylko w zakresie koniecznym do "pogodzenia" (wyważenia) ochrony prawa do prywatności z zasadami związanymi ze swobodą wypowiedzi ("only if they are necessary to reconcile the right to privacy with the rules governing freedom of expression").
Natomiast dyrektywa nie przewiduje wyłączenia reguł ochrony danych osobowych, jeśli chodzi o prowadzenie działalności naukowej, badawczej czy dydaktycznej
Wskazana możliwość (a można by nawet twierdzić: obowiązek) wprowadzenia do przepisów krajowych uregulowań wyjątkowych, pozwalających na przetwarzanie danych do celów dziennikarskich, literackich i artystycznych, w szczególności w zakresie audiowizualnym, jest rozwinięta i wyjaśniona szerzej w pkt 37 preambuły dyrektywy. Wiąże się tam takie rozwiązania ze swobodą wypowiedzi oraz z prawem do informacji, zwłaszcza w zakresie gwarantowanym przez art. 10 Europejskiej Konwencji Praw Człowieka. Z dyrektywy wynika także, iż instrumentem przydatnym w zakresie ochrony danych osobowych mogą być normy deontologiczne, zasady etyczne przyjmowane w niektórych środowiskach zawodowych (np. wśród naukowców).
Do czasu nowelizacji ustawy o ochronie danych osobowych dokonanej w roku 2004 przepisy prawa polskiego nie zawierały odpowiednika przedstawionego wyżej "przywileju dziennikarskiego". Sytuacja uległa zmianie wskutek wprowadzenia przepisu art. 3a ust. 2, który zawiera wyłączenie stosowania ustawy do prasowej działalności dziennikarskiej oraz działalności literackiej i artystycznej. Wyłączenie to nie obejmuje jednak uprawnień kontrolnych Generalnego Inspektora Ochrony Danych Osobowych oraz obowiązku zabezpieczenia danych, o którym mowa w art. 36 ust. 1 u.o.d.o.
Na temat ochrony danych osobowych w konfrontacji z działalnością mediów zob. też pkt E.V Wstępu.
Uprzednia kontrola
15.
Stosownie do art. 20 dyrektywy w oznaczonych przypadkach, gdy przetwarzanie danych prowadzić może do szczególnego narażenia praw i wolności jednostki, przed rozpoczęciem przetwarzania danych powinna być dokonywana kontrola przez odpowiedni organ (organ ochrony danych osobowych). Taka uprzednia kontrola (prior checking) może być przeprowadzona albo na wniosek administratora albo osoby odpowiedzialnej za ochronę danych (the data protection official), która powziąwszy wątpliwości powinna skonsultować się z organem kontrolnym. Polska ustawa po dokonanej w styczniu 2004 r. nowelizacji przewiduje uprzednią kontrolę w odniesieniu do tzw. danych sensytywnych. Zgodnie z brzmieniem art. 46 ust. 2 u.o.d.o. administrator danych może rozpocząć przetwarzanie danych, o których mowa w art. 27 ust. 1 u.o.d.o., dopiero po zarejestrowaniu zbioru danych, a nie - jak było to przed nowelizacją - po zgłoszeniu zbioru do rejestracji. Można więc przyjąć, że w ten sposób polska ustawa czyni zadość stosownym wymogom przewidzianym w dyrektywie.
Rejestracja zbiorów danych osobowych
16.
Tak dyrektywa, jak i ustawa polska opowiadają się za systemem zgłoszeń zbiorów danych osobowych i ich rejestracji przez instytucję kontrolną. Zgłoszenie takie - według dyrektywy - powinno być dokonane, zanim przeprowadzone zostanie całkowicie albo częściowo zautomatyzowane przetwarzanie danych bądź wielość takich operacji służących realizacji jednego albo wielu połączonych celów. Podobne podejście występuje w ustawie, choć nie jest ono - jeśli chodzi o czas zgłoszenia - expressis verbis w ten sposób przedstawione. W sposób zbliżony, choć nie identyczny, wyznaczony został w obydwu aktach prawnych zakres informacji, jakie powinny być zamieszczone w zgłoszeniu przetwarzania danych (art. 19 dyrektywy oraz art. 41 ustawy) oraz w rejestrze (art. 21 dyrektywy oraz art. 42 ust. 1 ustawy).
Znaczące różnice występują natomiast w kwestii przypadków zwolnień z obowiązku rejestracji zbioru danych (opisane w art. 18 ust. 2-4 dyrektywy oraz art. 43 ustawy).
Odpowiedzialność i sankcje
17.
Postanowienia dyrektywy (art. 23) zawierają zobowiązanie, by w przepisach krajów członkowskich wprowadzić na rzecz osoby, której dane osobowe zostały wprowadzone do zbioru i która to osoba poniosła szkodę w wyniku jakiegokolwiek przetwarzania danych - dokonanego bezprawnie lub w warunkach naruszających przepisy implementujące dyrektywę - uprawnienie do domagania się odszkodowania od administratora. Dopuszczalne jest jednak zwolnienie lub ograniczenie odpowiedzialności, gdy administrator danych wykaże, że nie jest odpowiedzialny za zdarzenie, które spowodowało szkodę, a w szczególności, jeśli szkoda jest wynikiem siły wyższej lub działania poszkodowanego. Analogicznych postanowień nie zawiera polska ustawa. Może się przy tym rodzić wątpliwość, czy przepisy dotyczące odpowiedzialności zawarte w polskim kodeksie cywilnym harmonizują z przytoczonymi regułami dyrektywy.
Dyskusyjne jest także, czy w prawie polskim istnieje - tak jak to przewiduje art. 22 dyrektywy - niezależne od środków administracyjnoprawnych uprawnienie jednostki do występowania na drodze sądowej przeciw naruszeniom praw przewidzianych ustawą o ochronie danych osobowych. Można mieć zastrzeżenia, czy wymóg ten spełnia istniejąca de lege lata ochrona cywilnoprawna, w szczególności dotycząca prawa do prywatności, oraz ochrona w ramach przepisów o czynach niedozwolonych. Zastrzeżenia te biorą się m.in. stąd, że - jak uważamy - nie wszystkie naruszenia praw jednostki przewidziane w ustawie o ochronie danych osobowych stanowią równocześnie bezprawne naruszenie dóbr osobistych poddanych ochronie w art. 23 i 24 k.c., a tym bardziej czyn nieuczciwej konkurencji.
Kodeksy postępowania
18.
Artykuł 27 dyrektywy dotyczy tzw. kodeksów postępowania (codes of conduct), których celem ma być usprawnienie procesu prawidłowego wprowadzania krajowych przepisów implementujących normy zawarte w dyrektywie, przy uwzględnieniu specyfiki różnych branż. Wskazany przepis nakłada na państwa członkowskie obowiązek zachęcania stowarzyszeń zawodowych i innych instytucji reprezentujących różne kategorie administratorów do opracowywania tego rodzaju kodeksów oraz opiniowania przez władze państwowe projektów takich kodeksów pod kątem zgodności z prawem. Polska ustawa nie zawiera przepisów dotyczących tej kwestii, poprzestaje jedynie na ogólnym stwierdzeniu, że do zadań Generalnego Inspektora Ochrony Danych Osobowych należy m.in. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
Organ nadzorczy
19.
Dyrektywa nakłada na państwa członkowskie obowiązek powołania organu sprawującego kontrolę nad przestrzeganiem przepisów o ochronie danych osobowych, wskazując uprawnienia, w jakie powinien być on wyposażony. Polska ustawa powołała do życia stosowny organ - Generalnego Inspektora Ochrony Danych Osobowych i przydała mu wiele kompetencji, które zasadniczo odpowiadają uprawnieniom określonym w dyrektywie. Jednakże wśród tych uprawnień zabrakło (wyrażonej w art. 28 dyrektywy jako obowiązek) kompetencji do wzajemnej współpracy z organami nadzorczymi innych państw, w zakresie koniecznym do wykonywania ich obowiązków. Zgodnie z art. 12 pkt 6 u.o.d.o. Generalny Inspektor ma jedynie uczestniczyć w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Wydaje się, że ta kompetencja sformułowana jest w ustawie w sposób zbyt ogólny i powinna zostać doprecyzowana.
Przekazywanie danych osobowych do państwa trzeciego
20.
Jednym z bardziej istotnych problemów, które starano się rozwiązać w dyrektywie, było ustalenie warunków dopuszczalności przekazywania danych osobowych do innych krajów. Znalazło to odbicie w przepisie art. 25 dyrektywy zezwalającym na takie udostępnianie danych tylko w sytuacji, gdy w "kraju docelowym" zapewniony jest odpowiedni poziom ochrony (adequate level of protection; angemessenes Schutzniveau). W polskiej ustawie kwestii tej poświęcone są postanowienia art. 47 i 48.
Na tle regulacji dotyczącej przekazywania danych osobowych do państw trzecich powstaje pytanie, czy przepisy prawa polskiego w sprawie transferu z Polski do kraju trzeciego danych osobowych są zgodne z wymogami przewidzianymi dla krajów członkowskich Wspólnot Europejskich, jeśli chodzi o eksport tego rodzaju danych.
Można przyjąć, iż zasadniczo podstawowy warunek dopuszczalności przekazania danych do kraju trzeciego wprowadzony do ustawy (w art. 47 ust. 1) odpowiada założeniom dyrektywy; chodzi o warunek "odpowiedniej (adekwatnej) ochrony". Pewne różnice ujawniają się wtedy, gdy analizujemy opis tych sytuacji wyjątkowych, w których dane mogą być przekazywane do państwa trzeciego mimo braku odpowiedniej ochrony w kraju docelowym. Tu polska ustawa wydaje się, pod pewnymi względami, bardziej liberalna od przepisów wspólnotowych. Przewiduje ona, że eksport danych osobowych jest dozwolony wówczas, gdy "przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej" (art. 47 ust. 2).
Tak ujętej klauzuli nie zamieszczono w dyrektywie. Dyrektywa nie przewiduje również szerokiego zwolnienia umożliwiającego administratorowi przekazywanie do państwa trzeciego danych osobowych ogólnie dostępnych.
Dyrektywa pozwala natomiast eksportować tylko dane uwidocznione w rejestrach mających służyć powszechnej informacji i które to dane są udostępniane do wglądu bądź wszystkim osobom, bądź co najmniej tym, którzy wykażą się w tej mierze słusznym interesem i o ile przewidziane są ustawowe przesłanki dla wglądu do danych w poszczególnych przypadkach (art. 26 ust. 1 lit. f). Nadto w dyrektywie znajdujemy postanowienie (art. 26 ust. 2), którego odpowiednika nie ma w ustawie polskiej. Zgodnie z nim "kraje członkowskie mogą zezwalać na przekazywanie danych osobowych, lub pewnych ich kategorii, do krajów trzecich nie legitymujących się odpowiednim (adekwatnym) poziomem ochrony, jeśli administrator da odpowiednie gwarancje co do ochrony sfery prywatności oraz podstawowych praw i wolności osoby, jak i wykonywania związanych z nimi praw; gwarancje te mogą w szczególności wynikać z odpowiednich klauzul umownych". W tym punkcie uregulowanie zamieszczone w dyrektywie należy uznać za bardziej liberalne i elastyczne od uregulowania występującego w polskiej ustawie.
Tę różnicę w pewnej mierze łagodzi wprowadzona do ustawy polskiej generalna klauzula, pozwalająca też w innych niż kazuistycznie wymienionych przypadkach przekazywać dane osobowe za granicę do kraju niedającego gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, o ile wyrazi na to zgodę Generalny Inspektor (art. 48).
Usprawiedliwione jest - i naszym zdaniem: słuszne - generalne stanowisko, iż ta ochrona danych osobowych, jaka zapewniona została na terytorium Rzeczypospolitej Polskiej, jest odpowiednia (adekwatna) z punktu widzenia dyrektywy; dotyczy to także przepisów o dopuszczalności przekazywania danych do państwa trzeciego. Choć być może wskazane byłoby usunięcie opisanych wcześniej różnic występujących między prawem polskim a dyrektywą w kwestii dopuszczalności transferu danych osobowych do państwa trzeciego, to niemniej nie stanowią one - według nas - dostatecznej podstawy do zakwestionowania istnienia w Polsce "adekwatnego poziomu ochrony danych osobowych" z punktu widzenia art. 25 dyrektywy. Uwaga powyższa w istocie dotyczy odpowiednio także innych, wcześniej omówionych, różnic występujących między poziomem ochrony danych osobowych gwarantowanym w polskich przepisach prawnych i regulacjach wspólnotowych. Po przystąpieniu Polski do Unii Europejskiej nasz kraj przestał być "krajem trzecim" w rozumieniu przepisów dyrektywy. W konsekwencji przekazywanie danych osobowych pomiędzy Polską a państwami należącymi do Europejskiego Obszaru Gospodarczego nie podlega ograniczeniom określonym w art. 25 i 26 dyrektywy. Zarówno transfer danych osobowych z Polski do państwa należącego do Europejskiego Obszaru Gospodarczego, jak i transfer z takiego państwa do Polski powinien odbywać się w sposób swobodny, z poszanowaniem prawa wewnętrznego.
E.Zagadnienia szczególne
I.Teoretyczno-konstrukcyjne modele ochrony danych osobowych
1.Ochrona danych osobowych jako przejaw ochrony powszechnych dóbr osobistych. Koncepcja ochrony prywatności
1.
W wypowiedziach na temat uregulowań dotyczących danych osobowych bardzo często pojawia się problem relacji pomiędzy powszechną ochroną dóbr osobistych (realizowaną w Polsce przede wszystkim na podstawie przepisów kodeksu cywilnego) a ochroną danych osobowych (opartą na ustawie z dnia 29 sierpnia 1997 r.). Posuwając się o krok dalej można postawić pytanie, czy ochrona statuowana wymienioną ustawą stanowi jedynie realizację, ukonkretnienie w zakresie pewnych praktyk społecznych, powszechnej ochrony dóbr osobistych, będąc względem niej swoistym lex specialis, czy też mamy tu do czynienia z autonomicznym obszarem prawnym.
Istnieje wiele argumentów przemawiających za tym, iż specjalne przepisy o ochronie danych osobowych związane są z realizacją powszechnego prawa do prywatności (right to privacy), którego istotą jest eliminowanie ingerencji w życie osobiste, gwarantowanie każdemu człowiekowi pozostawienia go w spokoju (right to be alone), zapewnienie mu możliwości decydowania o ujawnianiu, udostępnianiu i wykorzystywaniu elementów swego szeroko rozumianego wizerunku. Znalazło to odbicie w konwencji 108 Rady Europy. W wyjaśniającej jej genezę i funkcję preambule zawarte jest między innymi stwierdzenie: "Zważywszy że pożądane jest poszerzenie ochrony praw i podstawowych wolności każdego człowieka, w szczególności prawa do poszanowania prywatności (...)". Tę myśl powtarza przepis art. 1 konwencji, który stwierdza, iż "konwencja ma na celu zagwarantowanie, na terytorium każdej ze stron, każdej osobie fizycznej, niezależnie od jej narodowości i miejsca zamieszkania, poszanowanie jej praw i podstawowych wolności, w szczególności jej prawa do prywatności, w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych ("ochrona danych")".
Odniesienie do podstawowych praw i wolności, a w szczególności prawa do prywatności, uwidocznione zostało także w dyrektywie (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych.
2.
Na gruncie prawa niemieckiego można przy tym mówić o szczególnym zbliżeniu ochrony praw osobistych do ochrony danych osobowych. Za sprawą Federalnego Sądu Konstytucyjnego (poprzez wydanie w 1983 r. głośnego orzeczenia - Volkszahlungsurteil) wprowadzone zostało w latach 80. do niemieckiego porządku prawnego tzw. prawo do informacyjnego samookreślenia się (Recht auf informationelle Selbsbestimmung). Niewątpliwie asumpt dla wykreowania takiego prawa, któremu przyznano rangę konstytucyjną, dały obawy związane z rozwojem nowych, elektronicznych metod zbierania, gromadzenia i przetwarzania informacji o osobach. Uznano za niezbędne zapewnienie każdemu obywatelowi władztwa nad zakresem istniejących na jego temat informacji (Recht am eigenen Datum). Takie podejście nakłada na ustawodawcę obowiązek stworzenia instrumentów, dzięki którym aksjologiczna idea praw zasadniczych, konstytucyjnych, znajdowałaby spełnienie w obrębie prawa prywatnego. Chodzi o uprawnienie pozwalające samodzielnie rozstrzygać, kiedy oraz w jakich granicach ujawniane miałyby być informacje dotyczące osobistych sytuacji życiowych, i to o uprawnienie niesprowadzone do relacji obywatel - państwo, ale odnoszące się też do wzajemnych stosunków między obywatelami. W orzeczeniach Federalnego Sądu Najwyższego zaprezentowany został pogląd, że każde przekazywanie danych zebranych w kartotekach, jeśli nie dotyczy sytuacji przewidzianych ustawą o ochronie danych osobowych, stanowi naruszenie powszechnego prawa osobistego (allgemeinen Persönlichkeitsrechts), także wówczas, gdy zasługujące na ochronę interesy zainteresowanego w ogóle nie zostaną zagrożone.
Rozpatrując stosunek ochrony danych osobowych do powszechnych praw osobistych rozróżnia się w literaturze niemieckiej czasem, jeśli chodzi o ochronę danych:
zewnętrzny zakres ochrony - obszar zakazu takiego przetwarzania danych, które stanowi też naruszenie powszechnych praw osobistych;
wewnętrzny zakres ochrony - obejmujący przypadki przetwarzania danych, przy których nie zawsze dochodzi do równoczesnego naruszenia powszechnych praw osobistych, pomimo braku zgody osoby zainteresowanej, braku upoważnienia ustawowego i braku słusznych interesów podmiotu dokonującego przetwarzania danych.
3.
Lektura polskiej ustawy z 1997 r. o ochronie danych osobowych nie pozwala zauważyć odesłań lub nawiązań do prawa do prywatności czy innych powszechnych dóbr osobistych. Ustawa w żadnym z przepisów nie odwołuje się wprost do prawa do prywatności, do prawa decydowania o życiu osobistym czy też do prawa do poszanowania czci i dobrego imienia. Poza tym również sama Konstytucja RP nie łączy ochrony danych osobowych z prawem do prywatności. Obydwu tym kwestiom poświęca odrębne przepisy (o prawie do prywatności mówi w art. 47, o danych osobowych w art. 51); brzmienie tych postanowień nie upoważnia w żadnej mierze do tego, aby upatrywać istnienia bezpośredniego bliskiego związku pomiędzy regulowaną w nich materią.
Problem, czy i na ile dane osobowe korzystać mogą z ochrony wynikającej z przepisów służących ochronie powszechnych dóbr osobistych, rozpatrywany był w polskim orzecznictwie jeszcze przed wejściem w życie komentowanej ustawy. I tak Sąd Apelacyjny w Gdańsku w orzeczeniu z 15 marca 1996 r. (I Acr. 33/96, OST 1996, nr 7-8, poz. 31) zaznaczył, iż "dobro osobiste podlega ochronie prawnej, gdy jest zagrożone cudzym bezprawnym działaniem (art. 24 § 1 k.c.). Nie można wszakże przyjąć, iżby posłużenie się danymi osobowymi osoby fizycznej w ofercie handlowej do niej skierowanej było bezprawnym działaniem oferenta. Podstawowe dane osobowe człowieka (nazwisko i imię) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, iż istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itd.). Dopóki więc dane osobowe człowieka są używane zgodnie z regułami społecznymi, nie można mówić ani o bezprawności działań innych osób, ani o zagrożeniu dóbr osobistych tymi działaniami".
Należy nadto odnotować, iż w literaturze polskiej (A. Mednis) wyrażany jest pogląd, że ochrona tzw. prywatności informacyjnej jest jednym z aspektów prawa do prywatności . Podnosi się także, iż dane osobowe stanowią "nowe dobro osobiste" przynależne do sfery prywatności . Za przedmiot ochrony uznawane jest też dobro osobiste określane jako "autonomia informacyjna" . Takie podejście otwiera szerokie możliwości posługiwania się w sferze ochrony danych osobowych roszczeniami cywilnymi o charakterze niemajątkowym i majątkowym (roszczeniem o zadośćuczynienie) stosowanymi dla ochrony powszechnych dóbr osobistych.
Sam brak w jej przepisach wyraźnego odniesienia tego rodzaju nie jest wprawdzie rozstrzygającym i niepodważalnym argumentem pozwalającym mówić o "oderwaniu" ustawowej regulacji od powszechnego prawa do prywatności. Taki stan rzeczy sprzeciwia się jednak patrzeniu na tę regulację przez pryzmat prawa do prywatności i nakazuje co najmniej ostrożność, jeśli chodzi o jej "korygowanie" przez zasady wypracowane w literaturze oraz orzecznictwie dotyczące powszechnych praw osobistych, w tym prawa do prywatności.
4.
Nie wchodząc w przekraczające ramy tego komentarza rozważania teoretyczne wydaje się, iż można przyjąć, że pomiędzy ochroną prawa do prywatności (występującą na płaszczyźnie prawa konstytucyjnego oraz w ramach powszechnych dóbr osobistych) a ochroną danych osobowych (dostrzeganą w nowej Konstytucji RP, a szczegółowo ujmowaną w komentowanej ustawie) zachodzi stosunek krzyżowania. Są to przy tym reżimy wzajemnie niezależne. Oczywiście, w wielu przypadkach nieuprawnione przetwarzanie danych osobowych będzie nosiło znamiona niedozwolonej ingerencji w prawo do prywatności; także ochrona prawa do prywatności polegać będzie nierzadko na sprzeciwianiu się wykorzystaniu przez osoby trzecie cudzych danych osobowych. Obok tego jednak wystąpić mogą również sytuacje, w których przetwarzanie danych nie zostałoby zapewne zakwalifikowane jako naruszenie prawa do prywatności; ten punkt widzenia - jak się wydaje - przyjmuje Sąd Najwyższy w orzeczeniu (uchwale 7 sędziów) z 16 lipca 1993 r. (I PZP 28/93, OSN 1994, nr 1, poz. 2), stwierdzając że ujawnienie osobom trzecim wysokości wynagrodzenia za pracę nie stanowi samo w sobie naruszenia sfery prywatności, chyba że informacja taka wkraczałaby w sferę intymności pracownika (np. ujawniałaby dokonywanie potrąceń alimentacyjnych). Jeszcze wyraźniej stanowisko to zostało wyrażone w przytoczonym wyżej orzeczeniu Sądu Apelacyjnego w Gdańsku z 15 marca 1996 r. Podobnie można wyobrazić sobie również przypadki wkroczenia w objętą ochroną sferę prywatności poprzez działania inne niż przetwarzanie danych osobowych. W konsekwencji dochodzenie ochrony w oparciu o przepisy omawianej ustawy nie będzie wymagało wykazania, iż doszło do naruszenia prywatności, przynajmniej tak, jak jest ona rozumiana w kontekście ochrony dóbr osobistych na gruncie kodeksu cywilnego.
5.
Wówczas gdy przetwarzanie danych osobowych stanowi równocześnie bezprawne naruszenie prawa do prywatności, występuje ochrona kumulowana. Jest to sytuacja przewidziana przez kodeks cywilny w tym sensie, że przepis art. 23 k.c. wyraźnie zastrzega, iż dobra osobiste człowieka (do których powszechnie zalicza się też prywatność) "pozostają pod ochroną prawa cywilnego, niezależnie od ochrony przewidzianej w innych przepisach". Do rzędu tych "innych przepisów" zaliczyć można także przepisy ustawy z 1997 r. o ochronie danych osobowych.
Fakt, iż w danym przypadku "zbiega się" ochrona płynąca z przepisów kodeksu cywilnego oraz ustawy z 1997 r., nie powinien bynajmniej powodować, że dochodząc ochrony na podstawie tej ustawy należy brać pod uwagę przyjęte w prawie cywilnym czy to
przesłanki ochrony, czy to
okoliczności uchylające bezprawność działania.
To drugie założenie, dodajmy, nie ma zresztą dużego praktycznego znaczenia. Jest tak dlatego, że przewidziane w ustawie okoliczności usprawiedliwiające przetwarzanie danych osobowych pokrywają się w znacznej mierze z kryteriami egzoneracyjnymi stosowanymi na gruncie prawa cywilnego w odniesieniu do ochrony powszechnych dóbr osobistych. Mamy tu na myśli nie tylko zgodę zainteresowanego, ale też działanie w jego interesie, działanie w ramach przepisów prawa, wykonywanie określonych prawem zadań realizowanych dla dobra publicznego (por. art. 23 u.o.d.o.). Natomiast autonomiczność regulacji zamieszczonej w omawianej ustawie w stosunku do norm prawa cywilnego znajduje wyraz w tym, że przesłanki dopuszczalności przetwarzania danych osobowych ujęte są odmiennie i - co istotniejsze - szerzej niż przesłanki uchylające bezprawność ingerencji w dobra osobiste, o których mowa w art. 23 k.c.
Teoretycznie można by jeszcze stosunek między przepisami o ochronie prywatności i przepisami o ochronie danych osobowych ujmować w relację lex generalis - lex specialis. Dla stanowiska takiego trudno jednak znaleźć oparcie w brzmieniu czy systematyce przepisów. Zastrzeżenia wzbudzałyby także konsekwencje takiego ujęcia polegające m.in. na ograniczeniu zakresu stosowania ochrony opartej na przepisach art. 23-24 k.c.
6.
Naszym zdaniem - jak już zaznaczyliśmy wcześniej - między ochroną prawa do prywatności (zakotwiczoną w normach konstytucyjnych) a ochroną danych osobowych (dostrzeganą w nowej Konstytucji RP, a szczegółowo ujmowaną w komentowanej ustawie) zachodzi stosunek krzyżowania. Często, ale nie zawsze, nieuprawnione przetwarzanie danych osobowych będzie naruszało prywatność danej osoby; z drugiej strony ingerencja w prawo do prywatności nie sprowadza się do przypadków niedozwolonego przetwarzania tego rodzaju danych. Nie jest zatem warunkiem dochodzenia ochrony w oparciu o przepisy komentowanej ustawy wykazanie, iż doszło do naruszenia prywatności, podobnie czci, dobrego imienia czy decydowania o swoim życiu osobistym.
Odejście od traktowania zagadnienia ochrony danych osobowych jako wyłącznie składnika nadrzędnego problemu prawa do prywatności nie przeczy bynajmniej temu, że ochrona danych osobowych wykazuje bardzo silne powiązania z ochroną powszechnych dóbr osobistych; nie przeszkadza również temu, że w coraz większym stopniu zaciera się granica pomiędzy tradycyjnie rozumianą ochroną prywatności a ochroną danych osobowych. Cechę "prywatności" nabywają dzisiaj, zwłaszcza w obliczu możliwości, jakie przyniosła ze sobą nowoczesna technika informatyczna, właściwie wszelkie już dane (informacje) dotyczące zidentyfikowanej lub dającej się zidentyfikować osoby, dane "z różnych dziedzin życia", o ile tylko istnieje możliwość powiązania ich z oznaczoną osobą.
2.Ujęcie własnościowe ochrony danych osobowych
7.
Ogólnych ram i uzasadnienia dla ochrony danych osobowych poszukiwać można także w nowych doktrynalnych koncepcjach ujmujących w sposób poszerzony prawo własności. W literaturze zagranicznej spotkać się można z poglądami, iż tradycyjne spojrzenie, uznające za przedmiot własności jedynie rzecz (ruchomą lub nieruchomą), i - co najwyżej - stosowanie konstrukcji zbliżonych do własności w odniesieniu do oznaczonych dóbr niematerialnych (np. utworów, wynalazków), nie odpowiada już obecnym potrzebom i praktyce. Do rangi szczególnie wartościowego dobra urosła dziś sama "informacja" jako taka. Daje się ona wyodrębnić, oznaczyć i zasługuje na to, by być przedmiotem szczególnie intensywnej ochrony, zaś pozycję i interesy dysponenta informacji powinno się traktować podobnie jak pozycję i interesy właściciela.
Takie podejście otwiera drogę do formułowania tezy, iż każdą osobę można by uznawać za "właściciela" informacji na jej temat, czyli za "właściciela" dotyczących jej danych osobowych (piszemy na ten temat również w pkt 3 komentarza do art. 1 ustawy). Każdemu pozostawiona byłaby w związku z tym swoboda dysponowania "własnymi" danymi osobowymi, władania nimi, a równocześnie na wszystkich innych osobach, względem których skuteczne byłoby to prawo, spoczywałby obowiązek prawny biernego zachowania się w stosunku do uprawnionego (a więc obowiązek wstrzymania się od jakiegokolwiek przetwarzania "jego" danych osobowych). Naturalnie tak jak "klasyczne prawo własności" także "własność danych osobowych" nie byłaby jakiś prawem absolutnym, lecz ujęta zostałaby w określone ramy i podlegała ograniczeniom wynikającym z ustaw, a jej wykonywanie - ocenie z perspektywy zasad współżycia społecznego.
Powyższy punkt widzenia można poddać też pewnej modyfikacji polegającej na zastąpieniu odwołania się do prawa własności odwołaniem się do samoistnego posiadania i płynącego z niego władztwa. Jest to kuszące, zwłaszcza gdy zaaprobuje się pogląd, iż posiadanie nie jest żadnym prawem rzeczowym, lecz jedynie stanem faktycznym, z którego wynikają określone skutki prawne, stanem charakteryzującym się władztwem nad rzeczą i możliwością podejmowania faktycznych dyspozycji co do niej.
Trzeba jednakże zaznaczyć, iż teza o istnieniu absolutnego, bezwzględnego prawa do własnych danych spotkała się z krytyką. W literaturze niemieckiej podkreślano, że nie zawsze, gdy ustawodawca chce zagwarantować poszanowanie pewnych słusznych interesów poprzez "ustawę o ochronie" (Schutzgesetz), możliwe i potrzebne jest kreowanie prawa bezwzględnego w cywilnoprawnym rozumieniu. Nie jest przy tym ani trafne, ani usprawiedliwione przyznawanie każdemu prawa do własnych danych osobowych w znaczeniu pełnego i nieograniczonego władztwa nad nimi.
3.Ochrona danych osobowych jako informacji niejawnych (poufnych)
8.
Rozpatrując zagadnienie prawnych konstrukcji, które można traktować jako pewnego rodzaju oparcie czy nawet usprawiedliwienie dla ochrony danych osobowych, zwrócić należy uwagę jeszcze na zagadnienie ochrony informacji niejawnych.
Ten kierunek badań przyjmuje jednak założenie, iż dane osobowe stanowią informacje niejawne . Prawdziwość tego założenia można kwestionować. Obok takich danych osobowych, które mają niewątpliwie charakter niejawny, są też takie, które tego rodzaju cech nie wykazują. Są one dostępne (np. zawarte są w powszechnie dostępnych źródłach) i każdy może się z nimi zapoznać. Trudno więc je uznać za niejawne, przynajmniej w ścisłym tego słowa znaczeniu. Zauważmy jednak, iż ten fakt nie wyklucza całkowicie znaczenia i wartości, jakie ma uzyskanie danych bezpośrednio od osoby, której one dotyczą. Przemawia za tym wzgląd na "większą wiarygodność", aktualność, możliwość uzyskania w bezpośrednim kontakcie dodatkowych, nieznanych danych czy wskazówek odnoszących się do poszukiwania innych informacji. Zaznaczmy ponadto, że o niejawnym zbiorze informacji można mówić również wówczas, gdy:
tylko część składających się nań danych ma charakter poufny,
gdy do danych można dotrzeć samodzielnie, aczkolwiek w rezultacie działań znacznie bardziej czasochłonnych, niekiedy też kosztownych,
gdy istnieje inny jeszcze dysponent danych, tyle tylko, że nieudostępniający ich powszechnie.
To, co przy tym najistotniejsze, to wola nieujawniania danych "na swój temat". Nie chodzi tu o utrzymywanie ich w ścisłej, bezwzględnej tajemnicy, lecz o powstrzymywanie się od częstego (można by powiedzieć: przy lada okazji) ich przedstawiania.
Dane osobowe, a w szczególności ich zestaw, zbiór, może być traktowany - co najmniej w niektórych przypadkach - jako szczególny rodzaj szeroko rozumianego know-how, niezawężanego do wiadomości technicznych. Szeroka definicja know-how znajduje zresztą potwierdzenie w przepisach prawa. W szczególności art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji z dnia 16 kwietnia 1993 r. stanowi, iż przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Podobnie na gruncie prawa podatkowego (art. 29 ust. 1 ustawy o podatku dochodowym od osób fizycznych oraz art. 21 ust. 1 ustawy o podatku dochodowym od osób prawnych) know-how rozumiane jest jako "informacje związane ze zdobytym doświadczeniem w dziedzinie przemysłowej, handlowej lub naukowej".
Ochrona know-how ma także oparcie w międzynarodowych konwencjach dotyczących własności intelektualnej. Wspomnieć tu trzeba art. 10 bis konwencji paryskiej o ochronie własności przemysłowej oraz art. 39 Porozumienia TRIPS. Obecnie pierwszoplanowe znaczenie posiada zwłaszcza drugi spośród wymienionych przepisów, nakładający na kraje członkowskie określone zobowiązania i tworzący wśród nich platformę ujednolicenia ochrony. Stanowi on (w ust. 2), że:
"Osoby fizyczne i prawne będą miały możliwość zapobiegania temu, aby informacje pozostające w sposób zgodny z prawem pod ich kontrolą nie zostały ujawnione, nabyte lub użyte bez ich zgody przez innych, w sposób sprzeczny z uczciwymi praktykami handlowymi, tak długo, jak takie informacje:
są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zespole ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które normalnie zajmują się tym rodzajem informacji;
mają wartość handlową dlatego, że są poufne i
poddane zostały przez osobę, pod której legalną kontrolą informacje te pozostają, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich poufności."
9.
W świetle praktyki i współczesnych wypowiedzi przedstawicieli polskiej doktryny nie wzbudza już zastrzeżeń uznanie know-how za "dobro zdatne do wymiany"; umowy dotyczące know-how są aprobowane i dostrzegane przez ustawodawcę. Praktyka i doktryna potwierdza też zawieranie w obrocie umów know-how, niezależnie od wszelkich wątpliwości co do tego, czy można je uznać za przedmiot prawa bezwzględnego i wyłącznego, a jeśli tak, to jaka jest podstawa oraz treść takiego prawa .
Wyjaśnienie, czy ochrona know-how na gruncie prawa polskiego uzasadnia stwierdzenie o istnieniu w tym zakresie prawa podmiotowego, ma znaczenie nie tylko teoretyczne. Umożliwia m.in. oceny prawne co do traktowania umów, na podstawie których dochodzi do definitywnej utraty możliwości korzystania z know-how przez dotychczasowego ich posiadacza na rzecz nabywcy. Nowa ustawa o zwalczaniu nieuczciwej konkurencji ułatwia konstrukcyjne wyjaśnienie podstawy i treści prawa podmiotowego do poufnych informacji. Można przyjąć, iż przedmiotem tego prawa są "cudze informacje stanowiące tajemnicę przedsiębiorstwa", zaś treść tego prawa sprowadza się do "żądania, aby każda osoba nieuprawniona powstrzymywała się od przekazywania, ujawniania lub wykorzystywania cudzych informacji stanowiących tajemnicę przedsiębiorstwa". Rozpatrywanie istnienia prawa podmiotowego o charakterze bezwzględnym w odniesieniu do know-how powinno być dokonywane w świetle art. 11 ust. 3 ustawy o zwalczaniu nieuczciwej konkurencji, który dotyczy ograniczonej ochrony know-how względem osób trzecich. Cel i ramy komentarza wyłączają bliższą analizę tej problematyki. Wydaje się, że w świetle obowiązującego prawa można bronić poglądu, iż jest to swoiste, ograniczone prawo podmiotowe (a nie "prawo podmiotowe względne lub stan faktyczny pośrednio chroniony przez przepisy ustawy o zwalczaniu nieuczciwej konkurencji"), nieposiadające wszystkich atrybutów praw podmiotowych bezwzględnych, zwłaszcza ze względu na ograniczenie praw uprawnionego do know-how względem nabywcy tego know-how w dobrej wierze od osoby trzeciej. Takie ujęcie usprawiedliwiałoby wykształcenie umowy o charakterze rozporządzającym w sprawie przeniesienia praw do know-how.
II.Zbiór danych osobowych jako przedmiot prawa i przedmiot ochrony
Uwagi ogólne
1.
Rozpoczynając rozważania na temat ewentualnego uznania zbioru danych osobowych za przedmiot prawa należy na wstępie podkreślić, iż przedmiotem takim nie są - według dominującego poglądu - poszczególne dane. Podnosi się, że ustaw o ochronie danych osobowych nie należy rozumieć w ten sposób, iż uznają one dane za przedmiot prawa czy że statuują prawo podmiotowe do "własnych danych osobowych". Funkcją tych ustaw jest ujęcie w prawne ramy procedur określanych jako "przetwarzanie danych" i zapewnienie na tym polu osobom fizycznym (rzadko - też prawnym) ochrony słusznych interesów.
Fakt, iż pojedyncze dane nie zostaną uznane za wyodrębniony przedmiot prawa i ochrony, że nikomu nie będzie przyznane prawo wyłączne do informacji jako takiej, nie oznacza bynajmniej, iż to samo można powiedzieć o zbiorach danych. Wyróżnić tu trzeba kilka wchodzących w rachubę płaszczyzn prawnych.
Prawo autorskie
2.
Uznanie zbiorów informacji (mogą to być też informacje na temat osób - dane osobowe) za przedmiot prawa autorskiego nie jest bynajmniej czymś całkiem nowym. Dawno już do międzynarodowych konwencji oraz krajowych ustaw o prawie autorskim wprowadzone zostały przepisy, z których wynikało, że prawo to obejmuje również encyklopedie, wypisy, leksykony, antologie itp. Orzecznictwo sądowe w wielu krajach za dobro chronione w ramach prawa autorskiego uznawało przy tym nie tylko zbiory "utworów", lecz także materiałów, które same nie są przedmiotem prawa autorskiego (skorowidze biograficzne, książki telefoniczne, zbiory przepisów). Niemniej w kwestii granic ochrony zaznaczyła się pewna różnica stanowisk pomiędzy judykaturą kontynentalną a - co najmniej w części - angielską i amerykańską.
W licznych judykatach sądów amerykańskich przyjmowany był pogląd odchodzący w pewnej mierze od założeń prawa autorskiego; aprobowały one przyznawanie zbiorom ochrony nie według kryterium twórczości i indywidualnego wyboru, lecz w oparciu o tzw. doktrynę wysiłku intelektualnego (intellectual effort), określaną też obrazowo jako "doktryna spoconego czoła" (sweat of the brow) lub "teoria potu" (sweat theory). A więc sam nakład pracy, niezbędna fachowość, wysiłek, a także nakład finansowy towarzyszący powstaniu dzieła (zbioru) miałyby wystarczać dla objęcia go prawnoautorską ochroną. Nieco podobny rezultat osiągały sądy brytyjskie stosując tzw. test zręczności i pracy (skill and labour test). Niemniej także przed wydaniem orzeczenia w sprawie Feist, o którym będzie dalej jeszcze mowa, można było odnotować w orzecznictwie amerykańskim (zwłaszcza w orzeczeniach nowojorskiego Federal Court of Appeals for the Second Circuit) także inne podejście, bliższe praktyce kontynentalnej, a wiążące ochronę z uzewnętrznieniem osobowości, indywidualności autora (personality approach).
Przełomowym momentem dla ochrony banków danych w USA stało się wydanie głośnego orzeczenia w sprawie Feist. Przedmiotem sporu w tej sprawie była książka telefoniczna; chodziło o tę jej część, która określana jest jako tzw. white pages, a w której zamieszczane są w układzie alfabetycznym dane dotyczące nazwisk, adresów i numerów telefonicznych poszczególnych abonentów. Oddalając powództwo o naruszenie prawa autorskiego sąd uznał, że nie mamy tu do czynienia z przedmiotem prawa autorskiego ze względu na brak cechy twórczości. Twórczość w zakresie kompilacji danych może - zdaniem sądu - przejawiać się w selekcji, koordynacji i układzie danych (selection and arrangement). Natomiast gdy istnieje tylko jeden sposób ich prezentacji lub nawet więcej - ale tylko jeden jest optymalny z użytkowego punktu widzenia, wówczas ochrona autorska nie wchodzi w rachubę (doctrine of merger).
3.
Z kolei sądy krajów kontynentalnych, w państwach od wielu lat należących do konwencji berneńskiej, wielokrotnie i od dawna przypominały w wydawanych orzeczeniach, iż warunkiem przyznania ochrony jest, i pozostać musi, twórczy charakter pracy, subiektywne, indywidualne piętno, które przy omawianych kategoriach prac przejawia się przede wszystkim w wyborze materiału i sposobie jego uporządkowania. Podkreślano równocześnie, rozszerzając w ten sposób zasięg oddziaływania prawa autorskiego, że wystarczy nawet niewielki stopień twórczości.
Dość powszechne przyjęte było jeszcze z końcem lat 80. stanowisko, iż te same zasady, które wypracowano i stosowano w odniesieniu do tradycyjnych zbiorów czy kompilacji, należy stosować także do coraz to bardziej zautomatyzowanych banków danych. Pojawiały się wprawdzie w doktrynie wypowiedzi wskazujące na specyficzne rodzaje dzieł objętych ochroną prawa autorskiego, które określano jako formating work lub organisierter Werk, niemniej nie myślano jeszcze o kreowaniu dla nich odrębnych zasad ochrony, a co najwyżej zastanawiano się nad możliwością wykorzystania rozwiązań znanych prawu autorskiemu Holandii i krajów skandynawskich.
4.
Jeżeli chodzi o aktualny stan prawny obowiązujący w Polsce, to - stosownie do art. 3 ustawy o prawie autorskim i prawach pokrewnych z 1994 r. - "(...) bazy danych są przedmiotem prawa autorskiego, nawet jeżeli zawierają nie chronione materiały, o ile przyjęty w nich dobór, układ lub zestawienie ma twórczy charakter (...)".
Zacytowany przepis przesądza o tym, że poszczególne części składowe "zbioru" nie muszą, jednostkowo, podlegać ochronie; mogą nimi być m.in. także dane osobowe. Niemniej zbiory takie tylko wówczas stanowić będą przedmiot prawa autorskiego, gdy dopatrzymy się twórczego charakteru przejawiającego się w doborze, układzie lub zestawieniu materiałów. Nie ma natomiast znaczenia nakład pracy, koszty poniesione przy tworzeniu zbioru. Znamion twórczości nie można przy tym dopatrywać się:
w doborze informacji lub materiałów - gdy taki dobór ma charakter wyczerpujący lub jest całkowicie zdeterminowany celem zbioru, względnie ma charakter oczywisty (co występuje w odniesieniu np. do książek adresowych lub telefonicznych, katalogów towarów lub wykazów cen, katalogów firm, indeksów rzeczowych czy osobowych dołączanych do większych dzieł naukowych);
w zestawieniu informacji lub materiałów - gdy takie zestawienie ma charakter oczywisty, standardowy, oparte jest na przykład na kryterium alfabetycznym, chronologicznym.
Takie podejście powoduje, że prawnoautorska ochrona baz danych ma w istocie drugorzędne znaczenie.
Ochrona sui generis
5.
Rosnące bardzo szybko znaczenie oraz powszechność rozmaitych, przede wszystkim komputerowych, banków danych, a także niedostosowanie dotychczasowego prawa autorskiego do nowych sytuacji, spowodowały poszukiwanie nowych rozwiązań prawnych, takich, które zabezpieczałyby słuszne interesy niezależnie od "twórczego (oryginalnego) charakteru zbioru" i równocześnie stwarzały szansę dla ochrony w jakimś stopniu samej zawartości bazy danych. Chodziłoby więc o system pozwalający uprawnionemu dysponentowi takiej bazy sprzeciwiać się niekontrolowanemu przejmowaniu i powtórnemu wykorzystaniu zebranych przez niego danych. Problem ten ujawnił się zresztą już na długo przed wprowadzeniem komputerowych baz danych; bardzo dobrym tego przykładem jest spór z roku 1937: Leon v. Pacific Telephone and Telegraph Co. W sprawie tej powód skompletował książkę telefoniczną, w której w porządku alfabetycznym wymienieni zostali posiadacze telefonów i podane zostały obok numery ich telefonów. Pozwany natomiast, posługując się tymi samymi danymi, niepodlegającymi autorskoprawnej ochronie (nazwiskami i numerami telefonów), lecz nie wykorzystując sposobu ich uporządkowania w zbiorze, przygotował inny zbiór, w którym podane zostały kolejno numery telefonów, a obok nazwiska osób, do których one należą. Za pomocą takiej książki można było łatwo, znając numer telefonu, określić osobę abonenta. W sprawie tej sąd dopatrzył się jednak naruszenia prawa autorskiego.
Ostatecznie kierunek zmian został wyznaczony w raporcie ekspertów Green Paper on Copyright and Challenge of Technology przygotowanym dla Unii Europejskiej w 1988 r. W rozdziale 6 tego raportu pojawił się postulat wprowadzenia dla baz danych szczególnego prawa pokrewnego. Idea ta została zrealizowana w dyrektywie Unii Europejskiej o prawnej ochronie baz danych z dnia 11 marca r. (96/9/WE)1996.
6.
Podstawowym pojęciem w tej dyrektywie jest pojęcie "banku danych" ("bazy danych"). Obejmuje ono wszelkie bazy (zbiory) danych, niezależnie od tego, czy oparte są one na technice elektronicznej. Natomiast jedną z głównych funkcji dyrektywy jest wprowadzenie w odniesieniu do baz danych nowego, swoistego prawa wyłącznego. Przedmiotem tej sui generis ochrony są wszelkie banki danych, a więc zarówno te, które spełniają cechy utworu w rozumieniu prawa autorskiego, jak i te, które utworami nie są. Ochrona ma być zagwarantowana w krajach członkowskich Unii każdemu producentowi (maker) banku danych, który wykaże się wniesieniem istotnego wkładu (substantial investment) o charakterze ilościowym lub/i jakościowym w otrzymanie, weryfikację lub prezentację zawartości takiej bazy.
Należy przypuszczać, że ustalenie, czy konkretna baza danych stanowi wynik istotnej (substantial) inwestycji, będzie przedmiotem sporów ze względu na nieostrość tego pojęcia. Niemniej jednak można przyjąć, że istotna inwestycja może odnosić się zarówno bezpośrednio do nakładów finansowych, jak i być związana z organizowaniem i prowadzeniem pracy zespołu badawczego. Poza tym na gruncie ochrony sui generis szczególnie trudnym, praktycznym problemem będzie stwierdzanie, w którym momencie inwestycja związana z tworzeniem banku danych nabiera cechy "inwestycji istotnej" w rozumieniu art. 7 dyrektywy; tymczasem dopiero rozstrzygnięcie tej kwestii pozwala określić moment, od którego powstaje ochrona.
7.
Dla prawa sui generis dyrektywa przewiduje 15-letni okres ochrony. Okres ten liczony jest od początku roku następującego po roku, w którym bank danych ukończono (the date of completion). Jeżeli jednak przed upływem tego terminu bank danych został w jakikolwiek sposób udostępniony publicznie, wówczas początek biegu okresu ochrony wyznacza pierwsze publiczne udostępnienie.
Mówiąc o czasie ochrony baz danych należy zwrócić uwagę na możliwość jej przedłużania, w istocie bezterminowo. Daje się przy tym jednak zauważyć swoisty paradoks. Otóż płynąca z przepisów prawa autorskiego ochrona ulegnie przedłużeniu wówczas, gdy baza danych poddana zostanie twórczej modyfikacji. Inaczej jest z ochroną opartą o prawo sui generis, która "odnawiana" będzie wtedy, gdy zmiany i modyfikacje zawartości bazy danych posiadać będą charakter "zasadniczy" (istotny - substantial) z punktu widzenia czy to ilościowego, czy to jakościowego. Z treści dyrektywy wynika, że każda taka zmiana, w tym też taka, która jest rezultatem sukcesywnego zbierania, uzupełniania, usuwania lub zmieniania składników bazy, powinna być traktowana jako wykreowanie nowej bazy ze swoją własną ochroną. Warunkiem jest jednak to, aby rezultat zmian dokonanych w bazie mógł być uznany za istotną nową inwestycję (which result in the base being considered to be a substantial new investment) pod względem ilościowym lub jakościowym (evaluated qualitatively or quantitatively). Mając to na uwadze i uwzględniając, że często łatwiejsze będzie doprowadzenie do zmian zasadniczych niż twórczych w rozumieniu prawa autorskiego, okazać się może, że przedłużenie ochrony oryginalnej bazy danych (traktowanej jako utwór) będzie o wiele trudniejsze niż innych baz danych. Oznacza to także, że w przypadku bazy danych korzystającej z ochrony zarówno autorskiej, jak i sui generis, łatwiejsze będzie przedłużanie ochrony drugiego rodzaju, ochrony szczególnej.
8.
Treścią sui generis prawa do banku danych jest prawo zakazowe (możność sprzeciwiania się) zarówno co do:
pobierania (ekstrakcji - extraction), całości lub istotnej - ocenianej z punktu widzenia jakościowego lub/i ilościowego - części zawartości bazy danych, jak i co do
powtórnego wykorzystywania (re-utilization) takiej całości lub istotnej części.
Dla uproszczenia można oba te uprawnienia określić łącznie mianem prawa zakazu przejmowania i wykorzystywania danych.
Należy przy tym wyjaśnić, że systematycznie lub inaczej powtarzające się wykorzystywanie drobnych części bazy danych, choć jednostkowo traktowane, stanowi "nieistotną" eksploatację, niemniej ujmowane w całości stanowi korzystanie z istotnej części bazy danych.
Pobieranie (ekstrakcja) definiowana jest w dyrektywie jako trwałe lub okresowe przeniesienie (transfer) całej lub istotnej części zawartości bazy danych dowolnymi środkami i w dowolnej formie na inny nośnik. Natomiast powtórne wykorzystanie obejmuje wszelkie formy publicznego udostępniania całej lub istotnej części zawartości bazy danych poprzez rozpowszechnianie kopii, ich wynajmowanie (renting), transmisję bezpośrednią on-line lub w inny sposób. Dyrektywa zaznacza jednak, iż pierwsza sprzedaż kopii bazy danych na obszarze Unii przez uprawnionego lub za jego zgodą prowadzi do wyczerpania prawa kontroli dalszych sprzedaży takich kopii na tym obszarze. Wyjaśnia też, że publiczne wypożyczanie (public lending) nie stanowi aktu pobrania czy powtórnego wykorzystania.
Omawiane prawo ma charakter bezwzględny; może być przedmiotem umów rozporządzających oraz umów licencyjnych. Dyrektywa przewiduje jednak istotne ograniczenie swobody umów dotyczących baz danych. Po pierwsze, umowa między sprzedającym egzemplarz bazy lub licencjodawcą a legalnym użytkownikiem nie może zawierać ograniczeń uniemożliwiających dostęp do bazy i normalne z niej korzystanie. Po drugie, umowa taka w przypadku bazy udostępnionej do użytku publicznego nie może także zakazywać pobierania lub/i powtórnego wykorzystywania nieistotnej części zawartości bazy.
9.
Jeśli chodzi o zagadnienie ograniczenia treści prawa, to postanowienia dyrektywy pozwalają legalnemu użytkownikowi dokonywać w dowolnym celu pobierania (ekstrakcji) lub powtórnego wykorzystywania nieistotnych części zawartości bazy danych. Odnosi się to jednak tylko do takich banków danych, które zostały w jakikolwiek sposób publicznie udostępnione. Poza tym tak ujętemu upoważnieniu towarzyszą dwa zakazy. Po pierwsze, nie mogą być dokonywane takie czynności, które pozostawałyby w sprzeczności z normalną eksploatacją bazy danych albo które prowadziłyby do nieusprawiedliwionego naruszenia słusznych interesów jej producenta. Po drugie, wyłączone jest także dokonywanie takich czynności, które prowadziłyby do naruszenia praw autorskich lub praw pokrewnych do materiałów zgromadzonych w bazie danych.
Dyrektywa zezwala krajom członkowskim na ustanawianie na rzecz legalnego użytkownika publicznie udostępnionej bazy danych licencji zezwalających mu na pobranie (ekstrakcję) lub/i powtórne wykorzystanie istotnych części zawartości bazy danych w trzech przypadkach. Po pierwsze, dla celów prywatnych, gdy chodzi o zawartości nieelektronicznych baz danych. Po drugie, dla ilustracji nauczania lub dla badań naukowych, w zakresie usprawiedliwionym celem niekomercyjnym oraz pod warunkiem wskazania źródła. Po trzecie, w interesie bezpieczeństwa publicznego lub dla potrzeb toczącego się postępowania sądowego albo administracyjnego.
Podobnie jak w przypadku baz danych będących utworami dyrektywa nie zezwala na ustanowienie dozwolonego użytku prywatnego w stosunku do elektronicznych baz danych.
10.
Powtórzmy na zakończenie, że zasadnicze novum i znaczenie wprowadzanej szczególnej ochrony polega nie tylko na tym, że składające się na nią uprawnienia odnoszą się do banków danych niebędących utworami, ale też na tym, że również w odniesieniu do banków danych noszących cechy utworu pobranie (wyłączenie) i powtórne wykorzystanie całej lub części zawartości cudzej bazy danych stanowić będzie naruszenie prawa, i to również wówczas, gdy przejęciu podlegały będą tylko nietwórcze jej elementy. Jest to zasadnicze ograniczenie swobody, jaką wcześniej dawało prawo autorskie sensu stricto. Z punktu widzenia bowiem tego prawa przygotowujący nową, nawet konkurencyjną bazę danych, mógł dotychczas swobodnie przejmować same informacje zgromadzone w cudzej bazie, o ile tylko nie przejmował równocześnie oryginalnego, indywidualnego doboru, układu lub zestawienia.
Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz. U. Nr 128, poz. 1402 z późn. zm.), która weszła w życie z dniem 10 listopada 2002 r., implementuje do prawa polskiego wyżej scharakteryzowaną dyrektywę. W rządowym uzasadnieniu do projektu ustawy stwierdzono, że jej opracowanie "wynika z konieczności dostosowania polskiego ustawodawstwa do dyrektywy Parlamentu Europejskiego i Rady nr 96/9 z 11 marca 1996 r. o ochronie baz danych". Wbrew opinii Sekretarza Komitetu Integracji Europejskiej wyrażonej na podstawie art. 2 ust. 1 pkt 2 ustawy z dnia 8 sierpnia 1996 r. o Komitecie Integracji Europejskiej (Dz. U. Nr 106, poz. 494), w piśmie z dnia 4 czerwca 2001 r. w sprawie zgodności projektu ustawy o ochronie baz danych z prawem Unii Europejskiej - projekt ustawy i następnie sama ustawa jest w wielu elementach zasadniczo niezgodna z prawem Unii Europejskiej.
Przypomnijmy, że według dyrektywy sui generis ochrona baz danych "stosuje się niezależnie od tego, czy określona baza danych, podlega ochronie na podstawie prawa autorskiego lub innych praw". Tymczasem art. 1 polskiej ustawy przewiduje, że ochronie na jej podstawie podlegają bazy danych "z wyłączeniem baz danych spełniających cechy utworu określone w ustawie o prawie autorskim i prawach pokrewnych".
Zauważmy poza tym, że ustawa - wbrew dyrektywie - nie tylko wyklucza możliwość kumulatywnej ochrony baz danych (w oparciu o omawianą ustawę z 2001 r. oraz ustawę o ochronie praw autorskich i praw pokrewnych), lecz także, absurdalnie, eliminuje możliwość alternatywnej ochrony, rozumianej jako kompetencja uprawnionego do wyboru podstawy ochrony. W ten sposób polski ustawodawca wyłączył spod "nakazanej" ochrony sui generis istotną grupę baz danych. Wystarczy bowiem odnaleźć w bazie element, który "ze względu na dobór, układ lub zestawienie ma choćby w niewielkim stopniu twórczy charakter" (art. 3 pr. aut.), aby stwierdzić, że w całości baza jest pozbawiona ochrony sui generis (gdyż "spełnia cechy utworu").
Niewątpliwie argument o występowaniu w bazie danych cech twórczych w rozumieniu prawa autorskiego podnoszony będzie przeciw jej producentowi w każdym sporze dotyczącym naruszenia ochrony sui generis. Spotkaliśmy się z argumentem, że zarzut ten nie ma istotnego znaczenia praktycznego, gdyż przecież ochrona z tytułu prawa autorskiego jest bardziej intensywna niż przewidziana w komentowanej ustawie. Takie stwierdzenie wynika z braku rozumienia istoty ochrony autorskoprawnej. Otóż na gruncie prawa autorskiego ochrona obejmuje utwór tylko w tym zakresie, w którym ma on twórczy (indywidualny) charakter; pozostałe składniki utworu nie są przedmiotem wyłączności i mogą być dowolnie w innych dziełach wykorzystywane. Z zupełnie innym podejściem mamy do czynienia przy ochronie sui generis; wówczas bowiem analizowana jest "istotność" eksploatowanej części bazy. Co więcej, prawo to chroni także przed systematyczną eksploatacją nieistotnej części bazy danych. Stąd też w zagranicznych opracowaniach prawniczych analizuje się korzyści, znaczenie (ale i problemy) wynikające z ochrony kumulowanej; polskie prawo jej nie przewiduje .
Ochrona na podstawie przepisów o zwalczaniu nieuczciwej konkurencji
11.
Możliwości ochrony, przynajmniej niektórych, baz danych nie wyczerpują się na systemie prawa autorskiego czy na modelu związanym z prawem sui generis, tak jak zostało ono ujęte w omówionej wyżej dyrektywie Unii Europejskiej i zasygnalizowane w oparciu o polską ustawę. Istotną płaszczyznę ochrony, także w polskim systemie prawnym, stanowić tu mogą regulacje nastawione na zwalczanie przejawów nieuczciwej konkurencji. Polska ustawa z 1993 r. o zwalczaniu nieuczciwej konkurencji podaje i opisuje w sposób kazuistyczny czyny uznane za przejaw nieuczciwej konkurencji. Równocześnie zawiera przepis (art. 3 ust. 1 u.z.n.k.) pełniący rolę klauzuli generalnej. Ujęty jest on następująco: "Czynem nieuczciwej konkurencji jest działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta" i może być ewentualnie podstawą poszerzania katalogu zachowań kwalifikowanych jako nieuczciwa konkurencja. Z kolei art. 11 u.z.n.k. stwierdza, że: "Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża istotnym interesom przedsiębiorcy". Przepis ten służyć może jako podstawa ochrony deliktowej dla zbiorów danych osobowych uznawanych za tajemnicę przedsiębiorstwa .
12.
Dla efektywnej ochrony baz danych w oparciu o uregulowanie zamieszczone w ustawie o zwalczaniu nieuczciwej konkurencji znaczenie posiada poza tym odpowiedź na pytanie, czy ustawa ta może zostać wykorzystana do zakazu przejmowania udostępnionych do wiadomości powszechnej całych baz danych lub ich elementów niechronionych prawami wyłącznymi. W tej mierze uwagę może zwracać przepis art. 13 ust. 1 u.z.n.k. Stanowi on: "Czynem nieuczciwej konkurencji jest naśladowanie gotowego produktu, polegające na tym, że za pomocą technicznych środków reprodukcji jest kopiowana zewnętrzna postać produktu, jeżeli może to wprowadzić klientów w błąd co do tożsamości producenta lub produktu". Bliższa analiza tego przepisu wskazuje jednak na jego ograniczone znaczenie. Nieprzydatność tego przepisu wynika stąd, iż jego hipoteza wymaga, aby dochodziło do wprowadzenia odbiorców w błąd co do tożsamości producenta lub produktu w wyniku dokonanej reprodukcji. Poza tym trudno byłoby uznać, że przejmowanie zbioru informacji jest kopiowaniem "zewnętrznej postaci produktu" przy pomocy "technicznych środków reprodukcji".
13.
W tej sytuacji ewentualna bezprawność przejmowania niechronionych prawami wyłącznymi, a zarazem publicznie ujawnionych baz danych, może być ewentualnie wywodzona wyłącznie z klauzuli generalnej wyrażonej w art. 3 u.z.n.k. Zakazuje ona - przypomnijmy "działania sprzecznego z prawem lub dobrymi obyczajami, jeżeli zagraża to lub narusza interes innego przedsiębiorcy lub klienta". Taka klauzula niesie ze sobą nie tylko niepewność prawną, ale zarazem większą elastyczność i "lepszą przystawalność" do różnych dziedzin i sektorów rynku, a to głównie poprzez odwołanie się do "dobrych obyczajów". Za czyn nieuczciwej konkurencji może być uznany czyn niekolidujący wprawdzie z wyraźnym przepisem prawa, ale za to niezgodny z "dobrymi obyczajami", jeśli zagraża lub narusza interes innego przedsiębiorcy lub klienta. Trudności związane ze stosowaniem tak ujętej normy biorą się między innymi z faktu, iż samo pojęcie "dobre obyczaje" nie jest pojęciem ostrym. Chcąc go uściślić lub przynajmniej opisać przyjmuje się (np. w Niemczech), że pewne zachowanie wówczas narusza dobre obyczaje, gdy jest ono sprzeczne z "poczuciem przyzwoitości" (Anstandsgefühl) występującym w danym środowisku lub gdy środek użyty w walce konkurencyjnej jest powszechnie negatywnie oceniany. Sięga się przy tym po kryterium "poglądów rozsądnych i przyzwoitych przeciętnych obywateli". Także środowiskowe zwyczaje lub oceny traktowane są niejednokrotnie w zagranicznych orzeczeniach jako kryterium rozgraniczenia między tym co dozwolone i tym co niedozwolone w zakresie wykorzystywania (przejmowania) rezultatów cudzej pracy. Tak postąpił m.in. Cour de Lyon w orzeczeniu z 1950 r. dotyczącym książki adresowej. Odwołał się w nim do "przyzwoitych zwyczajów przyjętych w zainteresowanych kręgach" i stwierdził, że pozwalają one na daleko idące zapożyczenia z konkurencyjnej książki adresowej, bowiem jej elementy są w dużej mierze dobrem powszechnym.
Za działania naruszające reguły uczciwej konkurencji uznaje się niekiedy w orzecznictwie zagranicznym przejawy "pasożytnictwa", polegające na wykorzystywaniu, zwłaszcza permanentnym, efektów cudzej pracy dla własnych potrzeb. Z nowszego dorobku orzecznictwa zwrócić można uwagę na orzeczenie Oberlandsgericht Frankfurt am Main (z 29 października 1996 r.), wydane - co istotne - jeszcze przed implementacją do prawa niemieckiego dyrektywy Unii Europejskiej w sprawie ochrony baz danych. W orzeczeniu tym stwierdzono, że:
zbiór danych telefonicznych i telefaksowych nie korzysta z ochrony prawa autorskiego;
ten, kto taki zbiór w ten sposób kopiuje, że zwielokrotnia poszczególne strony książki, a tak uzyskane informacje po każdej stronie wprowadza do banku danych zmazując przy tym "elektroniczną kopię", nie narusza prawa do zwielokrotnienia wymienionego w § 16 niemieckiej ustawy autorskiej;
przejęcie danych telefonicznych oraz telefaksowych przez konkurenta nie jest niedozwolone ani z punktu widzenia bezpośredniego przejmowania cudzych świadczeń (unmittelbare Leistungübernahme), ani ze względu na nierespektowanie postanowień dotyczących ochrony danych.
Orzeczenie to zostało opatrzone krytyczną częściowo glosą, w której wytknięto m.in. zbyt łatwe odrzucenie odpowiedzialności opartej na przepisach o zwalczaniu nieuczciwej konkurencji. Taka ocena odpowiada stanowisku Landgericht Mannheim (postanowienie z 25 września 1996 r.); sąd ten przyjął, iż mamy do czynienia z nieuczciwym uzyskaniem korzyści konkurencyjnej (w rozumieniu § 1 niemieckiej ustawy o zwalczaniu nieuczciwej konkurencji), gdy dane przedsiębiorstwo, oszczędzając sobie kosztów uzyskania danych, wprowadza na rynek produkt, który wytworzony został przez inne przedsiębiorstwo na podstawie zobowiązań ustawowych i mocą ustawy opłacone zostało korzystanie z niego.
14.
Wypada również odnotować, iż aktualnie prowadzone są w USA prace nad ustanowieniem dodatkowej, komplementarnej w stosunku do przewidzianej w prawie autorskim ochrony baz danych (obecnie w USA bazy danych są chronione także jako tajemnica handlowa i na podstawie umowy). Ten nowy model ochrony miał mieć początkowo postać sui generis ochrony autorskiej (chodzi tu o Database Investment and Intellectual Property Antipiracy Act of 1996). W roku 1997 wniesiony został jednak nowy projekt, zatytułowany: Missappropriation of Collections of Information, oparty na przyjętych w USA zasadach ochrony przed nieuczciwą konkurencją (wzorowany w części na Lanham Act). Nie ulega wątpliwości, że proponowana regulacja w USA zapewnia o wiele niższy poziom ochrony niż wyznaczony omówioną wcześniej dyrektywą Unii Europejskiej.
Projekt (HR 2652) wprowadza odpowiedzialność każdej osoby, która pobiera lub wykorzystuje w działalności gospodarczej całość lub zasadniczą część zestawu informacji zebranych, ułożonych albo utrzymywanych (maintained) przez inną osobę, która poniosła w tym celu istotne nakłady finansowe lub innego rodzaju. Do powstania odpowiedzialności jest niezbędne, by tego rodzaju postępowanie naruszyło interesy prowadzącego działalność handlową dysponenta bazy danych, poprzez wkroczenie w aktualny lub potencjalny rynek (klientelę) obrotu towarami lub usługami obejmującymi bazy danych.
Proponowana ochrona nie obejmuje:
wykorzystywania pojedynczych informacji lub nieistotnych części zbioru,
niezależnego tworzenia równoległego zbioru danych,
weryfikowania własnych informacji (w tym zbioru danych) przy pomocy cudzej bazy danych,
wykorzystywania zbioru danych nie w celu zysku w sferze edukacji i badań naukowych,
eksploatacji zbioru w celach przekazu wiadomości bieżących (news),
baz danych stworzonych w ramach działalności organizacji rządowych.
15.
Ostatecznie jednak, na gruncie prawa polskiego, biorąc pod uwagę:
obowiązującą w polskim systemie prawnym zasadę numerus clausus praw na dobrach niematerialnych (istotą tej zasady jest stwierdzenie, że wyłączne prawa majątkowe powstają tylko ze względu na te rezultaty pracy intelektualnej, które przez obowiązujące ustawodawstwo zostały zaliczone do dóbr chronionych prawami wyłącznymi, natomiast pozostałe wyniki pracy intelektualnej znajdują się poza taką ochroną prawną: każdy może je wykorzystywać, nikt nie nabywa do nich żadnych praw, niezależnie od tego, czy je odkrył, zapisał, czy tylko eksploatował) oraz
szczególnie wąskie ujęcie ochrony przed naśladownictwem wynikające z art. 13 u.z.n.k. (przyjęta tu konstrukcja prawna oparta jest na założeniu, że każdemu powinna przysługiwać wolność kopiowania lub naśladowania cudzych rozwiązań, chyba że narusza to prawa własności intelektualnej lub może wywołać konfuzję),
wydaje się, że z reguły te kategorie baz danych, w których nie będzie można się dopatrzyć cech twórczych, oryginalnych, nie będą objęte ochroną płynącą z podanej ustawy, chyba że chodzi o ich ochronę ze względu na stan tajemnicy (art. 11). Podobną wykładnię proponują M. Poźniak-Niedzielska i S. Sołtysiński, pisząc że: "Nie można natomiast całkowicie wykluczyć uznania za bezprawne takich aktów naśladownictwa cudzego gotowego produktu, które nie wprowadzają w błąd klienta, lecz mogą być uznane za czyn nieuczciwej konkurencji ze względu na swą sprzeczność z dobrymi obyczajami (art. 3 ust. 1 u.z.n.k.). Jednakże ze względu na szczególną regulację problematyki naśladownictwa w art. 13 u.z.n.k., sprzeczność czynu naśladowcy z dobrymi obyczajami nie może polegać na samym kopiowaniu, ponieważ poza sytuacją określoną w analizowanym przepisie i ustawodawstwie poświęconym własności intelektualnej, naśladownictwo nie jest czynem zakazanym przez prawo" .
Dodajmy, że wprowadzenie sui generis ochrony baz danych niewątpliwie ograniczy znaczenie ochrony tych baz na podstawie ustawy o zwalczaniu nieuczciwej konkurencji.
Ochrona kontraktowa
16.
Niezależnie od istniejącej lub postulowanej ochrony opartej o prawa wyłączne, a także opartej o przepisy dotyczące czynów niedozwolonych (w tym zwłaszcza przepisy służące zwalczaniu nieuczciwej konkurencji), wskazać jeszcze trzeba na możliwość kontraktowej ochrony baz danych.
Dysponent bazy danych utrzymywanej w tajemnicy, który przekazuje ją innej osobie, na przykład w celu wykorzystania jej w części lub w całości, może zabezpieczać swe interesy przez wprowadzenie do umowy, na podstawie której dochodzi do owego udostępnienia, klauzul o obowiązku utrzymania bazy (jej zawartości) w tajemnicy oraz o celu i zakresie dopuszczalnej eksploatacji. Strony mogą w takiej umowie wskazać, jakie działania powinny być podjęte dla zapewnienia poufności bazy danych, dla utrzymania jej w tajemnicy (np. zobowiązanie kontrahenta do zawarcia odpowiednich umów ze swoimi pracownikami). Poza tym strony mogą też wskazać okoliczności, wobec których wystąpienia powstawać będzie obowiązek zaniechania dalszego korzystania z bazy danych oraz obowiązek jej zwrotu połączony ze zniszczeniem wszelkich sporządzonych kopii czy "wyciągów".
Do umowy wprowadzone mogą zostać inne jeszcze postanowienia, w tym zaostrzające odpowiedzialność po stronie tego, który bazę z zastrzeżeniem utrzymania poufności otrzymuje.
Trzeba jednak podkreślić, iż ochrona kontraktowa z natury swej ma tę słabą stronę, że jest podmiotowo ograniczona. Jest skuteczna tylko względem drugiej strony umowy, względem kontrahenta.
Inne formy ochrony
17.
W ostatnim okresie dostrzec można inne jeszcze od wcześniej opisanych przejawy wzmocnienia ochrony informacji; dotyczy to także ochrony tych informacji (oraz ich zbiorów), które mają status danych osobowych. W tym nurcie mieszczą się rozwiązania prawne wprowadzone przez dyrektywę Parlamentu Europejskiego i Rady z dnia 20 listopada 1998 r. w sprawie ochrony prawnej usług związanych z warunkowym do nich dostępem ; dotyczą one usług (najczęściej kodowanych) świadczonych na odległość, z których korzystanie przez odbiorcę jest związane z odpłatnością. Chodzi tu przede wszystkim o telewizję kablową, ale także o różne usługi w sieciach komputerowych - najczęściej związane z dostępem do baz danych i elektronicznych publikacji. Usługi w tym zakresie są z reguły zabezpieczone przed dostępem ze strony osób nieposiadających upoważnienia poprzez odpowiednie "zamki elektroniczne", hasła lub poprzez zakodowanie udostępnianych materiałów. Zasadniczym celem wspomnianej dyrektywy jest ochrona przed wprowadzaniem na rynek w celach uzyskania (bezpośredniej lub pośredniej) korzyści finansowej takich urządzeń i programów komputerowych, które umożliwiają lub ułatwiają bezprawne usunięcie technicznych środków przeznaczonych do zabezpieczenia wynagrodzenia dla legalnie zapewnianych usług.
W obowiązującym w naszym kraju stanie prawnym problematyka ta uregulowana została ustawą z dnia 5 lipca 2002 r. o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym (Dz. U. Nr 126, poz. 1068). Polska regulacja implementuje postanowienia zawarte we wskazanej powyżej dyrektywie.
Szczególne znaczenie dla ochrony informacji posiada "wmontowywana" do systemu prawa autorskiego ochrona przed usuwaniem zabezpieczeń, przeciwdziałających swobodnemu dostępowi do rozpowszechnianych utworów. Szeroko podnoszone są obawy, że tego rodzaju ochrona, zwłaszcza gdy nadawany jest jej szczególnie intensywny charakter, stwarza nowe bariery w dostępie społeczeństwa do informacji. Uniemożliwia ona (lub co najmniej utrudnia) dostęp do informacji objętej dozwolonym użytkiem prywatnym i publicznym. Nadto wprowadzenie tego rodzaju ochrony prowadzi do wyłączenia ze sfery powszechnej dostępności różnych materiałów w rezultacie ich udostępniania w sieci tylko w wersji zakodowanej. Chodzi bowiem o to, że poprzez wyeliminowanie lub ograniczenie dostępu do urządzeń dekodujących pojawi się możliwość monopolizowania zbiorów danych uprzednio powszechnie dostępnych w wersji papierowej.
Opisana ochrona - w różnym zresztą stopniu intensywności - przewidziana jest w:
amerykańskim Digital Millennium Copyright Act z 1998 r.,
konwencjach WIPO z 1996 r. (konwencji o prawach autorskich i konwencji o wykonaniach artystycznych i fonogramach),
dyrektywie 2001/29/WE Parlamentu Europejskiego i Rady z 22 maja 2001 r. w sprawie harmonizacji niektórych zagadnień prawa autorskiego i praw pokrewnych w społeczeństwie informacyjnym .
Wskazane cztery postacie ochrony informacji (ochrona sui generis, ochrona tajemnicy, ochrona związana z warunkowym dostępem oraz ochrona przed usuwaniem lub omijaniem zabezpieczeń) ujmowane łącznie tworzą realne zagrożenie tworzenia monopoli podważających swobodę dostępu społeczeństwa do informacji .
III.Obrót danymi osobowymi
1.
Rozpatrując obrót danymi osobowymi wyodrębnić można obrót zbiorami danych i obrót poszczególnymi danymi (informacjami) . Przez "obrót" rozumiemy przy tym takie sytuacje, w których poprzez umowy cywilnoprawne dochodzi do udostępnienia danych innemu podmiotowi; natomiast abstrahujemy od celu i dopuszczalności takiego udostępnienia . Rozpatrzmy, jakie konstrukcje prawne mogą być w tym zakresie wykorzystane.
Przedmiotem umów autorskich mogą być niewątpliwie prawa (ściślej: majątkowe prawa autorskie) do tych baz (zbiorów) danych osobowych, które spełniają kryteria "utworu", tj. przede wszystkim - charakteryzują się cechami twórczymi w doborze lub zestawieniu danych . Pojawić się mogą umowy bądź tego rodzaju, w których prawa wyłączne do wspomnianych baz danych będą przenoszone na inną osobę, bądź tego rodzaju, na podstawie których inna osoba będzie upoważniona do korzystania z bazy. Chodzi tu o umowy licencyjne i umowy o przeniesienie autorskich praw majątkowych, uregulowane w art. 41-68 ustawy o prawie autorskim i prawach pokrewnych z 1994 r. Ściśle ujmując, opisane umowy nie mają za przedmiot samych danych. Prawdziwym obiektem kontraktu jest dobór lub zestawienie danych, w tym bowiem zawiera się dobro relewantne z punktu widzenia prawa autorskiego. Dlatego nabywca (lub licencjobiorca) takiej oryginalnej bazy danych nie może - zwłaszcza gdy baza była już publicznie udostępniona - sprzeciwiać się posługiwaniu się danymi przez osobę trzecią, jeśli tylko nie wykorzystuje ona oryginalnego zastosowanego doboru lub zestawienia.
2.
Jak pisaliśmy już wcześniej, od 10 listopada 2002 r. pojawiła się w Polsce sui generis ochrona baz danych , która - przypomnijmy - pozwala skutecznie sprzeciwić się:
pobieraniu (extraction) całości lub istotnej - ocenianej z punktu widzenia jakościowego lub/i ilościowego - części zawartości bazy danych,
powtórnemu wykorzystywaniu (re-utilization) takiej całości lub istotnej części.
Związane z tą ochroną prawo może być - jak wyraźnie zaznacza ustawa o ochronie baz danych (art. 6) - przedmiotem zbycia.
Tak ukształtowany charakter oraz treść nowego prawa otwiera możliwości zawierania umów, które zezwalać będą innemu niż producent podmiotowi na pobieranie całości lub istotnej części zawartości bazy oraz na jej powtórne wykorzystanie, także do innych celów.
Ustawa o ochronie baz danych nie zawiera postanowień dotyczących umów. W tej sytuacji zapewne najczęściej zawierane będą umowy upoważniające, udostępniające zbiór danych osobowych; będą to - z typologicznego punktu widzenia - umowy nienazwane, które można jednak określać terminem "umowy licencyjne", przyjmując szerokie znaczenie tego pojęcia. Do umów takich znajdować mogą, w drodze analogii, zastosowanie niektóre postanowienia ustawy o prawie autorskim i prawach pokrewnych. Chodzi tu w szczególności o art. 43 pr. aut. (domniemanie odpłatności umowy), art. 67 ust. 2 pr. aut. (domniemanie niewyłącznego charakteru umowy), art. 67 ust. 3 pr. aut. (prawo udzielania sublicencji). Nie ma także przeszkód dla zawierania umów o przeniesienie prawa sui generis do zbioru danych osobowych, jeśli zbiór ten stanowi bazę danych w rozumieniu ustawy o ochronie baz danych .
3.
Analizując problematykę obrotu danymi nie możemy pominąć - sygnalizowanej już wcześniej - kwestii, że zawartość baz (zbiorów) danych osobowych utrzymywanych w tajemnicy może być w określonych przypadkach traktowana jako swego rodzaju know-how i w związku z tym mogą być na tym polu zastosowane konstrukcje wypracowane już dla umów know-how .
Obecnie spotkać można zarówno umowy, których celem jest przeniesienie "prawa do poufnych informacji" (następuje wówczas zmiana dysponenta informacji), jak i (częściej) umowy, których celem jest uzyskanie dostępu lub prawa korzystania z poufnego know-how (podstawę stanowić tu będzie umowa licencyjna, upoważniająca). Zawarcie umowy licencyjnej mającej za przedmiot poufne informacje nie budzi dziś zastrzeżeń. Stronom pozostawiona tu została znaczna swoboda kształtowania treści takiej umowy. Dopuszcza się także - jak zaznaczyliśmy - zawarcie umowy prowadzącej do nabycia cudzych tajemnic przedsiębiorstwa. Nabycie może nastąpić zarówno w drodze sukcesji syngularnej (np. sprzedaży), jak i w drodze sukcesji uniwersalnej (np. nabycie majątku przedsiębiorstwa).
Jak się zaznacza , umowy licencyjne dotyczące know-how zawierają:
zobowiązanie dysponenta do dostarczenia odbiorcy oznaczonych w umowie informacji,
upoważnienie odbiorcy do wykorzystania (np. gospodarczego) dostarczonych informacji; może tu wchodzić w rachubę m.in. wykorzystanie informacji przy świadczeniu przez odbiorcę usług,
zobowiązanie odbiorcy do zapłaty ustalonego wynagrodzenia za dostarczone informacje i upoważnienie do ich wykorzystania,
obowiązek odbiorcy do zachowania otrzymanych informacji w tajemnicy.
Natomiast przy umowach "przeniesienia know-how" następuje:
zobowiązanie "przeniesienia" faktycznej wyłączności korzystania oraz rozporządzania know-how (ewentualnie przeniesienia prawa, jeśli uznamy, iż do know-how przysługuje nie tylko faktyczna, ale i prawna wyłączność),
zobowiązanie zbywcy do zachowania know-how w tajemnicy,
zobowiązanie zbywcy do niekorzystania z know-how,
zobowiązanie nabywcy zapłaty ustalonego wynagrodzenia.
Podsumowując dotychczasowe wywody powtórzmy, że już obecnie na gruncie prawa polskiego zestawy danych osobowych mogą stanowić w określonych warunkach przedmiot umów typu know-how (o charakterze licencyjnym) oraz umów o "przeniesienie know-how". Jeżeli natomiast uznamy - co można kwestionować - iż art. 11 u.z.n.k. daje dostateczną podstawę do stwierdzenia istnienia prawa podmiotowego do poufnych informacji, wówczas transakcję dotyczącą tego rodzaju zbioru danych osobowych należy traktować w kategoriach umowy o przeniesienie prawa.
Trzeba przy tym dostrzec zarówno wykształcanie się nowych typów umów związanych z dostarczaniem i przekazywaniem informacji, przy których element poufności nie miałby już konstytutywnego znaczenia, jak i adoptowanie do tych celów umów nazwanych znanych od dawna kodeksowi cywilnemu. Poniekąd zmusza do tego sytuacja, w której w kierowaniu, zwłaszcza dużymi organizacjami gospodarczymi, w walce konkurencyjnej, pierwszoplanowe znaczenie odgrywa dziś to, co określa się jako "efektywne zarządzanie informacją" (effektives Informationsmanagement). Tworzenie, przetwarzanie i rozpowszechnianie informacji stało się - zdaniem niektórych autorów - czwartym czynnikiem produkcyjnym obok pracy, gruntu i kapitału.
Jak już zaznaczaliśmy, informacje, i to nie tylko poufne, uznawane są dziś powszechnie za towar, za mienie przedsiębiorcy (niekiedy o dużej wartości rynkowej), które przynależy mu także wtedy, gdy to pracownik przyczynił się do ich powstania lub zgromadzenia, a umowa o pracę nie przewidywała stosownych postanowień w tym zakresie. W konsekwencji przedmiot handlu stanowią obecnie różne dobra, nie tylko rzeczy i prawa, ale również informacje. Na szczególną uwagę zasługują te przypadki, gdy przedmiotem obrotu stają się same informacje, bez jakichkolwiek fizycznych nośników.
4.
Rozpatrywanie informacji jako towaru nie jest nowym ujęciem. Niekiedy pisze się, że jest tak stare jak szpiegostwo. Jednakże technika elektroniczna uczyniła przetwarzanie danych tak łatwym, że ta gałąź handlu, której - jako mało znaczącej - nie poświęcano wiele uwagi, zasługuje aktualnie na szersze i bardziej wnikliwe potraktowanie, chociażby po to, aby chronić słuszne interesy zarówno "kupców", jak i tych, których dotyczą dane będące przedmiotem handlu. Danymi tymi często są adresy określonych osób, z reguły dobierane i zestawiane według określonych kryteriów, dla określonych potrzeb (np. prowadzenia odpowiednio ukierunkowanej kampanii reklamowej, akcji ofertowej itp.). Za popularną formę handlu danymi uznaje się odpłatną sprzedaż adresów, do jednokrotnego bądź wielokrotnego wykorzystania, najczęściej z zakazem dalszego rozpowszechniania.
5.
W literaturze niemieckiej podejmowane są próby przyporządkowania występujących praktyk handlowych do istniejących typów umów cywilnoprawnych. Do sytuacji, gdy uprzednio sporządzona lista adresowa zbywana jest za zapłatą do dowolnie częstego wykorzystania, adekwatna jest umowa sprzedaży. Kwalifikacji takiej nie przeczy zamieszczenie w umowie ograniczeń co do dalszego zbywania (przekazywania) danych, gdyż takie dodatkowe warunki pojawiają się również przy "zwykłych" umowach sprzedaży. Na odmienną ocenę zasługują przypadki, gdy przekazanie adresów następuje do jednorazowego albo określonego wielokrotnego wykorzystania, natomiast dalsze ich eksploatowanie przez "nabywcę" jest zabronione. W odróżnieniu od poprzednio omawianej sytuacji "nic tu nie jest ostatecznie przeniesione", a tylko ustanowiona została (najczęściej jednorazowa) możliwość korzystania. Dlatego uznano, że - z punktu widzenia regulacji i praktyki występującej w Niemczech - dopatrzyć się tu można bliższego związku z umową najmu niż umową sprzedaży. Przeszkodą jest jednak to, że przedmiotem najmu (podobnie zresztą jak w prawie polskim) może być jedynie rzecz. W związku z tym w sposób naturalny pojawia się pytanie o zaliczenie transakcji udostępnienia danych do kategorii umowy dzierżawy, której zakres przedmiotowy jest szerzej ujęty; bowiem przedmiotem dzierżawy mogą być zarówno rzeczy, jak i prawa. Z naturą umowy dzierżawy trudno jednak byłoby pogodzić te przypadki, kiedy udostępnienie danych następuje do jednorazowego, a nie na oznaczony czas, wykorzystania; pewnych wątpliwości przysparzać może nadto stosowanie przepisów mówiących o pobieraniu pożytków. Wreszcie korzystanie nie ma tu charakteru wyłącznego; z tych samych danych korzystać mogą, nawet równocześnie, także inne podmioty. Zauważmy przy tym, że wprawdzie ekskluzywność eksploatacji przy dzierżawie jest elementem modelowym, niemniej nie jest elementem niezbędnym, konstytutywnym. Tak więc, mimo wszelkich zastrzeżeń, przekazanie list adresowych do jednorazowego (lub liczbowo oznaczonego) wykorzystania może być - jak przyjmuje się w literaturze niemieckiej - traktowane w kategoriach umowy dzierżawy.
W określonych okolicznościach pojawia się problem zastosowania - o czym już wspominaliśmy - konstrukcji umowy o dzieło. Chodzi głównie o przypadki, w których nie istnieje już (gotowa) lista adresowa, lecz będzie ona dopiero tworzona w oparciu o założenia przedstawione przez jej przyszłego użytkownika. Obiekcje wzbudza jednak sytuacja, "niepasująca" do umowy o dzieło, kiedy pozyskujący zbiór danych (adresów) może się nimi tylko raz lub ograniczoną ilość razy, posłużyć. Można bronić stanowiska, iż także dla tych sytuacji bliższa jest umowa dzierżawy.
Oprócz umów wyżej wymienionych na gruncie prawa polskiego uwzględnić należy także umowę użyczenia i zamianę; w praktyce pojawiać się będą zapewne również rozmaite umowy mieszane .
6.
Jak trafnie zaznacza T. Grossmann umowy, na podstawie których dochodzi do udotępnienia danych, powinny przede wszystkim dokładnie wskazywać (opisywać) owe dane (zbiór danych), ich charakter, a nadto cel i inne warunki ich zebrania. Towarzyszą temu oświadczenia udostępniającego mówiące o podstawie i zakresie przysługujących mu uprawnień dotyczących danych i ich przetwarzania, o wywiązaniu się z obowiązku rejestracji zbioru. Osoba uzyskująca dane powinna złożyć deklarację, iż będzie je wykorzystywać w tym samym celu, dla którego zostały zebrane, chyba że w grę wchodzą szczególne sytuacje pozwalające na odstępstwa od zasady związania celem. Ważnym elementem umów mogą okazać się postanowienia dotyczące jakości (w tym aktualności) i kompletności zbioru danych osobowych, odpowiedzialności za jego ewentualne wady.
Wiele szczególnych postanowień występować powinno przy umowach dotyczących zbiorów danych przetwarzanych w systemach informatycznych.
Ustawa o ochronie danych osobowych nie wprowadza ze swej strony żadnych specjalnych wymagań w stosunku do formy umów mających za przedmiot dane osobowe. Jedynie art. 31 ust. 1 zastrzega wymóg formy pisemnej dla umów, na podstawie których administrator danych powierza innemu podmiotowi przetwarzanie danych.
7.
Zbadajmy obecnie, czy obowiązująca polska ustawa o ochronie danych osobowych uwzględnia temat obrotu samymi danymi, umów mających za przedmiot dane osobowe.
Lektura ustawy pokazuje, że nie posiada ona "własnego" uregulowania odnoszącego się wprost do umów dotyczących danych osobowych (wyjątek stanowi art. 31 ust. 2 dotyczący zlecania osobom trzecim przez administratora przetwarzania danych oraz, ewentualnie, art. 29). Taki stan rzeczy nie zwalnia jednak od postawienia pytań, czy znajdą tu zastosowanie normy odnoszące się do sytuacji logicznie powiązanych z takimi umowami. Mamy tu na myśli w pierwszym rzędzie postanowienia regulujące udostępnianie danych, a także ich przetwarzanie.
I tak pojawia się problem, czy na umowy, których celem jest:
"przeniesienie prawa do poufnych informacji" lub
udostępnienie możności korzystania z poufnych informacji (najczęściej w postaci umowy licencyjnej),
należy nałożyć wszelkie te rygory i ograniczenia, które ustawa statuuje w odniesieniu do udostępniania danych osobowych oraz ich przetwarzania. Wydaje się, że - teoretycznie ujmując - możliwe są w tej sprawie trzy stanowiska.
Po pierwsze, można bronić poglądu, że do tego typu transakcji nie należy w ogóle stosować przepisów dotyczących przetwarzania i udostępniania danych. Na rzecz tej wykładni można by podnieść, że "udostępnienie danych" jest elementem ich przetwarzania. Jest zatem - jak to wynika z art. 7 pkt 2 ustawy - jedną z operacji wykonywanych na danych. Tymczasem jest co najmniej wątpliwe, czy "odstąpienie" informacji albo zezwolenie na korzystanie z nich stanowi "operację na danych". Trzeba przy tym wyraźnie podkreślić, że fakt niepoddania obrotu danymi całemu reżimowi wynikającemu z przepisów o przetwarzaniu i udostępnianiu danych nie oznacza bynajmniej, iż reżim ten wyczerpuje swe znaczenie na działaniach podejmowanych przez pierwszego dysponenta danych. Także dalsi dysponenci muszą przy przetwarzaniu danych respektować regulacje ustawy.
Kolejny argument wyprowadzić można z rozdziału ustawy zatytułowanego "Przekazywanie danych osobowych do państwa trzeciego". Można założyć, iż takie przekazywanie danych następować będzie w wielu (o ile nie w większości) przypadkach w oparciu o umowę. Ustawodawca
nie posługuje się tu określeniem "udostępnianie" danych, jakby chcąc podkreślić odrębność występującej tu sytuacji, określanej jako "przekazywanie", w stosunku do "przetwarzania" danych;
nie stawia przekazaniu danych innych wymogów niż ten, aby kraj docelowy dawał na swym terytorium gwarancje ochrony danym osobowym przynajmniej takie, jakie obowiązują na terytorium RP.
W sumie oznaczałoby to, że obrót danymi, który charakteryzuje się właśnie przekazywaniem danych, a nie ich przetwarzaniem (w tym udostępnianiem), nie wymagałby spełniania wymogów sformułowanych z myślą o przetwarzaniu.
Co takie podejście oznacza w praktyce, jeśli chodzi na przykład o umowy dotyczące danych "zwykłych" (niewrażliwych)? Ujmując to zwięźle - uniezależnienie ważności takich umów od warunków podanych w art. 23 ust. 1, art. 29 i 30 ustawy. A zatem, dla ważności analizowanych tu kontraktów nie byłoby potrzebne m.in. (tak jak tego wymaga art. 23 ust. 1):
aby przez osobę (osoby), której (których) dane dotyczą, wyrażona została zgoda,
aby przetwarzanie było konieczne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
aby przetwarzanie danych było konieczne dla realizacji umowy, gdy stroną umowy jest osoba, której dane dotyczą,
aby przetwarzanie następowało na żądanie osoby, której dane dotyczą, w celu podjęcia niezbędnych działań przed zawarciem umowy,
aby taka umowa była niezbędna do ochrony żywotnych interesów osoby, której dane dotyczą, a nie jest możliwe uzyskanie zgody osoby zainteresowanej,
aby taka umowa była niezbędna do wykonania zadań określonych prawem, a realizowanych dla dobra publicznego,
aby taka umowa była niezbędna do wypełniania usprawiedliwionych celów administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą.
Po drugie, możliwa jest obrona "stanowiska pośredniego". Bazuje ono na przyjęciu, że umowy dotyczące danych osobowych, obojętnie jaki będą miały charakter, mają tę cechę, iż prowadzą do udostępnienia danych (otwierają bowiem możliwość poznania ich przez inne osoby). Nie mamy tu co prawda do czynienia z "przetwarzaniem danych" i przepisy dotyczące "przetwarzania" nie znajdują tu zastosowania, niemniej nie można pominąć tych zasad, które sformułowane zostały z myślą o "udostępnianiu". To ostatnie pojęcie - jak się wydaje - funkcjonuje w ustawie zarówno jako określenie jednego ze składników procedury "przetwarzania", jak i szerzej, jako dowolne postępowanie, także niezwiązane z "przetwarzaniem danych", z operacjami na danych, dające innym możliwość zapoznania się z (niekiedy dalej - też skorzystania czy dysponowania) danymi.
Co z kolei takie podejście oznacza w praktyce, jeśli chodzi na przykład o umowy dotyczące danych "zwykłych" (niewrażliwych)?
Tak jak i przy poprzednio przedstawionym poglądzie ważność i skuteczność umów jest niezależna od warunków podanych w art. 23 ust. 1 komentowanej ustawy. Zastosowanie znajdą natomiast klauzule wyrażone w art. 29 i 30. Tak więc kiedy umowa będzie zapewniała "nabywcy" (licencjobiorcy) uprawnienia względem danych szersze niż sprowadzające się do wprowadzenia ich do zbioru, wówczas do skutecznego zawarcia umowy niezbędny będzie:
albo przepis prawa dający nabywcy (licencjobiorcy) legitymację do otrzymania danych,
albo wykazanie w sposób wiarygodny potrzeby posiadania danych, o ile będzie można nadto stwierdzić, iż udostępnienie:
nie naruszy praw i wolności osób, których dane dotyczą, a także nie naruszy istotnie ich dóbr osobistych lub dóbr osobistych innych osób,
nie doprowadzi do ujawnienia wiadomości stanowiącej tajemnicę państwową,
nie sprowadzi zagrożenia dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
nie sprowadzi zagrożenia dla podstawowego interesu gospodarczego lub finansowego państwa.
Ustawa (w art. 29 ust. 4) nakłada przy tym na nabywcę (licencjobiorcę) obowiązek wykorzystywania danych osobowych wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione (chodzi tu o cel "udostępnienia pierwotnego", udostępnienia, jakie miało miejsce na rzecz "zbywcy"/licencjodawcy).
Po trzecie, i to stanowisko uważamy za poprawne, można uznać, że w przypadku umów licencyjnych lub umów o przeniesienie prawa do zbioru danych osobowych (bez względu na to, czy zbiór ma charakter poufny oraz czy zgodzimy się na istnienie prawa podmiotowego do poufnych informacji) stosuje się w pełni przepisy o przetwarzaniu (w tym i o udostępnianiu) danych osobowych. Zasadniczego argumentu na rzecz tego poglądu dostarcza definicja "przetwarzania danych" zamieszczona w art. 7 pkt 2 u.o.d.o. Nie wymienia ona wprawdzie licencji lub przeniesienia prawa, lecz podaje jedynie w przykładowy sposób formy posługiwania się danymi. Co przy tym istotne, i czego nie można pominąć, zasadniczym celem umów odnoszących się do danych osobowych jest ich udostępnienie innej osobie, a co za tym idzie - zgodnie z szerokim rozumieniem "przetwarzania danych" przyjętym w polskiej ustawie - właśnie ich przetwarzanie.
Za dodatkowy argument służyć tu może odpowiednia definicja umieszczona w dyrektywie o ochronie danych osobowych (art. 2 lit. b). Nakazuje ona termin processing (który odpowiada polskiemu terminowi "przetwarzanie") odnosić do wszystkich postaci transmisji, rozpowszechniania lub innych sposobów zapewnienia dostępności danych.
Natomiast kontrargumentem jest okoliczność, że przy takiej wykładni przepisy formułujące warunki udostępniania danych w dużej mierze tracą znaczenie i rację bytu. Można jednak wskazać, że z reguły umowy takie dotyczą udostępniania danych w celu włączenia do zbioru, a wówczas przepis art. 29 u.o.d.o. nie znajduje zastosowania.
Opowiedzenie się za tym trzecim stanowiskiem oznacza, że w przypadku zawierania umów mających za swój przedmiot dane osobowe stosuje się wszystkie przewidziane dla ich przetwarzania ograniczenia . Należy je uwzględniać również wówczas, gdy będzie chodziło o obrót prawami autorskimi do baz danych osobowych czy obrót prawem sui generis. Tak więc po to, aby udostępnienie danych w drodze umowy nie stanowiło naruszenia prawa, spełniona musiałaby być jedna z przesłanek przewidzianych w art. 23 ust. 1 u.o.d.o.; może to być w szczególności:
zgoda na takie działanie udzielona przez osoby, których dane dotyczą (nie wystarcza przy tym jednak zaaprobowanie przy podawaniu swych danych ogólnikowego stwierdzenia mówiącego o zezwolenia na udostępnianie danych osobom trzecim);
okoliczność, iż dane są niezbędne do wypełnienia usprawiedliwionych celów przez administratora lub odbiorcę, który uzyskuje dane, zaś ich udostępnienie nie naruszy prawa i wolności osoby, której dane dotyczą.
Poza tym zachowany musi zostać cel, dla którego dane były pierwotnie przetwarzane, chyba że zaistnieje któraś z sytuacji wskazanych w art. 26 ust. 2. Należy przyjąć, iż to na udostępniającym dane (na zbywcy) ciąży obowiązek dołożenia szczególnej staranności w celu zbadania, czy będą one przez kontrahenta wykorzystywane w tym samym celu, dla którego zostały zebrane.
Wypada zauważyć, iż z perspektywy podmiotu, który od kogoś innego uzyskuje dane osobowe, jego działanie mieści się w hipotezie art. 25 ust. 1 u.o.d.o.; mamy tu bowiem do czynienia ze zbieraniem danych osobowych nie od osoby, której one dotyczą. Na uzyskującym dane ciążą więc obowiązki informacyjne podane w wymienionym przepisie ustawy, które spełnione powinny zostać bezpośrednio po utrwaleniu pozyskanych na drodze umowy danych . Warto także wspomnieć o tym, że wskutek nowelizacji ustawy z dnia 22 stycznia 2004 r. obowiązek informacyjny z art. 25 u.o.d.o. dotyczy również tych podmiotów, które uzyskały dane ogólnie dostępne, oraz tych administratorów, którzy nie przetwarzają dalej uzyskanych danych po ich jednorazowym wykorzystaniu.
IV.Dane osobowe osób prawnych
Uwagi ogólne
1.
Powszechnie, zwłaszcza w krajach europejskich, zapewniona jest na gruncie prawa cywilnego ochrona dóbr osobistych osób prawnych. W Polsce art. 43 k.c. stanowi o odpowiednim stosowaniu przepisów o ochronie dóbr osobistych osób fizycznych (chodzi tu przede wszystkim o art. 23 i 24 k.c.) do ochrony takich interesów osób prawnych . Tego rodzaju regulacje dają podstawę do - przynajmniej częściowej - ochrony "danych osobowych" osób prawnych (rozumianych jako informacja dotycząca osoby prawnej, którą można takiej zidentyfikowanej osobie przypisać).
O wiele większe kontrowersje wywołuje problem ochrony danych osobowych osób prawnych w ramach prawa publicznego, a ściślej ujmując na podstawie ustaw dotyczących ochrony danych osobowych. Zajęcie stanowiska w tej kwestii jest w dużej mierze zależne od "lokalizacji" źródeł tego rodzaju ochrony. Często bowiem uważa się, że prawo do ochrony danych osobowych jest emanacją praw osobistych człowieka (prawa osobowości, prawa do informacyjnego samookreślenia), których głównym celem jest zapewnienie poszanowania prywatności, godności czy osobowości człowieka. Przyjmując taką perspektywę krajowe ustawy o ochronie danych osobowych koncentrują się na właściwym wyważaniu interesów związanych z ochroną prywatności (w szerokim rozumieniu) osób fizycznych z takimi interesami powszechnymi jak swobodny przepływ i dostęp do informacji. Wyłączenie stosowania ustaw o ochronie danych osobowych do osób prawnych może być dodatkowo uzasadniane postulatem ochrony interesów konsumenta, potrzebą zapewnienia mu uzyskiwania informacji o przedsiębiorstwach, istotnych dla podejmowania decyzji w sprawie zawarcia transakcji. Zaznaczmy, że obecnie przeważają tego rodzaju regulacje, które ograniczają ochronę danych osobowych do informacji dotyczących osób fizycznych. Takie podejście dominuje w krajach Unii Europejskiej ; przyjmuje go również komentowana ustawa polska.
Dostrzega się jednak, że ochrona danych osobowych związana jest (lub powinna być) z szerszym kręgiem interesów niż tylko prawo do prywatności jednostki. W krajach, których ustawodawstwa chronią także dane osobowe osób prawnych , wskazuje się na celowość ochrony interesów osób prawnych związanych z przetwarzaniem danych ich dotyczących. Podkreśla się przy tym, że chodzi tu o ochronę "słabszą" niż w przypadku osób fizycznych, a nadto faktycznie zróżnicowaną co do intensywności w zależności od charakteru osoby prawnej . Nie bez znaczenia jest także okoliczność, że w wielu przypadkach trudno wytyczyć linię podziału pomiędzy danymi dotyczącymi osób fizycznych a innymi informacjami. I tak na przykład istnieją sytuacje, gdy dane dotyczące małego przedsiębiorstwa są równocześnie informacjami, niekiedy nawet o charakterze sensytywnym, dotyczącymi jego właściciela .
Ochrona na gruncie konwencji międzynarodowych i dyrektyw Wspólnot Europejskich
2.
Również na płaszczyźnie międzynarodowej przyjmuje się, że "korzenie" ochrony danych osobowych usytuowane są w prawach człowieka gwarantowanych m.in. przez Europejską Konwencję Praw Człowieka. Chodzi tu przede wszystkim o powiązanie z ochroną prawa do prywatności (art. 8 konwencji). Równocześnie pojawia się problem "konfrontacji" omawianej ochrony z uwzględnianymi przez konwencję innymi uznanymi wartościami, zwłaszcza z wolnością informacji (prawem do informacji, o którym stanowi art. 10 konwencji) .
Trudno jednak nie zauważyć, że zarówno Wytyczne Organizacji Współpracy Gospodarczej i Rozwoju (OECD) w sprawie ochrony prywatności i przekazywania danych osobowych pomiędzy krajami, jak i konwencja 108 Rady Europy z 1981 r. oraz dyrektywa w sprawie ochrony danych osobowych przewidują możliwość objęcia ochroną danych dotyczących osób prawnych. Na gruncie prawa wspólnotowego należy szczególnie zwrócić uwagę na tzw. dyrektywę telekomunikacyjną (dyrektywę 97/66/WE), która w wielu przypadkach wyraźnie ustanawia wymóg jej stosowania w odniesieniu do osób prawnych .
Trzeba też nadmienić, że wiele orzeczeń odnoszących się do ochrony danych, wydawanych przez Trybunał w Strasburgu, zapadało w sprawach wniesionych przez stowarzyszenia, redakcje gazet lub spółki. Z tego punktu widzenia charakterystyczne jest orzeczenie w sprawie X and Church of Scientology v. Szwecja , w którym uznano, że różnica pomiędzy Kościołem a jego członkami na gruncie art. 9 ust. 1 Europejskiej Konwencji Praw Człowieka jest w istocie sztuczna. Gdy Kościół wnosi roszczenie powołując się na konwencję, w rzeczywistości czyni to w imieniu swych członków. Dlatego też trzeba przyjąć, że Kościół jest zdolny do posiadania i wykonywania praw określonych w art. 9 ust. 1 konwencji jako reprezentant wyznawców. Na gruncie konwencji ochrona innych podmiotów niż osoby fizyczne oczywiście dotyczy "praw człowieka", lecz głównie związanych z własnością, prawem do należytego procesu, wolnością wypowiedzi, zakazem dyskryminacji.
Zdaniem D. Korffa można uznać i traktować jako generalną zasadę prawa wspólnotowego to, że:
informacja dotycząca osoby fizycznej lub prawnej, która może być wykorzystana do podjęcia istotnej decyzji dotyczącej tej osoby, powinna być udostępniona zainteresowanej osobie,
osoba ta powinna mieć możliwość zweryfikowania informacji, sprawdzenia jej prawdziwości i odpowiedniości (przydatności) w kontekście podejmowania określonej decyzji.
Rozumowanie to wymieniony autor odnosi także do Europejskiej Konwencji Praw Człowieka. Przekonująco wykazuje, że przetwarzanie informacji dotyczących politycznych, związkowych, religijnych oraz innych organizacji, zrzeszających osoby fizyczne, powoduje konieczność dokonywania ocen nie tylko na pod kątem widzenia ochrony prawa do prywatności tych osób (art. 8), lecz także wolności określonych w art. 9-11 (wolność wyrażania poglądów, wolność religii, swoboda zrzeszania się, ochrony przed dyskryminacją). Oczywiście nie upoważnia to do odnoszenia "praw człowieka", a zwłaszcza tych, o których stanowi art. 8 konwencji, do osób prawnych. W stosunku do niepublicznych osób prawnych istnieje - zdaniem D. Korffa - możność ochrony ich interesów ze względu na prawo własności, prawo do sprawiedliwego procesu i wolność wypowiedzi. Zasadnicze znaczenie, ze względu na ochronę danych osobowych, posiada możliwość rekonstruowania uprawnień osoby prawnej do:
wiedzy o zebranych informacjach, które jej dotyczą i mogą stanowić podstawę decyzji podejmowanych w odniesieniu do takich osób, oraz
weryfikacji prawdziwości zebranych informacji.
Natomiast zbieranie danych o organizacjach politycznych, religijnych i związkowych może samoistnie, bezpośrednio naruszać ich podstawowe prawa (a nie tylko członków tego rodzaju organizacji) na podstawie omawianej konwencji .
Proponowany model ochrony danych osobowych osób prawnych
3.
Według D. Korffa istnieje uzasadnienie dla objęcia osób prawnych ochroną, jeśli chodzi o przetwarzanie "ich danych osobowych". Jest to obiektywnie uzasadnione i przemawia za tym interes publiczny. Rozważając tę problematykę w aspekcie jednolitego prawa Unii Europejskiej wskazuje się nadto, że przyjęcie w tej kwestii wspólnych reguł usunie trudności związane z występowaniem odmiennych zasad ochrony osób prawnych (w analizowanym zakresie) w krajach członkowskich.
Model ochrony danych osobowych osób prawnych nie powinien być tożsamy z modelem ochrony wprowadzonym w interesie osób fizycznych. Postuluje się wprawdzie przyjęcie ogólnej reguły sprawiedliwego i zgodnego z prawem przetwarzania danych, ale - generalnie ujmując - uważa się, że zakres ochrony służącej osobom prawnym powinien być istotnie węższy niż przysługujący osobom fizycznym.
W pierwszym rzędzie chodziłoby o zapewnienie ochrony ze względu na przetwarzanie danych handlowych przez podmioty oceniające zdolność kredytową lub inne elementy wiarygodności osoby prawnej. Po drugie, chodzi o ochronę mającą na uwadze tego rodzaju przetwarzanie informacji dotyczących osoby prawnej, którego rezultaty stanowią podstawę do wydania przez organy publiczne lub prywatne istotnych dla tej osoby decyzji. Kolejna sfera ochrony wiąże się z przetwarzaniem "danych osobowych" przez organy państwowe dla celów statystycznych. Istnieją słuszne interesy osób prawnych, by tego rodzaju dane, udostępniane obowiązkowo, nie były następnie przekazywane konkurentom oraz aby okres ich gromadzenia bez anonimizacji nie był dłuższy, niż wynika to z celu ich zbierania. Rozważa się także rozbudowanie ochrony osób prawnych (poza reguły określone w wyżej wymienionej dyrektywie telekomunikacyjnej) ze względu na marketing bezpośredni. Wreszcie zwraca się uwagę na celowość ustanowienia szczególnej regulacji w odniesieniu do zbierania i przetwarzania danych dotyczących organizacji związkowych, religijnych, politycznych, bowiem taka działalność może zagrażać fundamentalnym prawom i wolnościom człowieka, takim jak wolność przekonań, religii, edukacji i stowarzyszania się. Podkreślmy na zakończenie tego wyliczenia, że ochrona danych osobowych osób prawnych obejmowałaby także regulacje wprowadzone już do dyrektywy telekomunikacyjnej z myślą o poszanowaniu interesów użytkowników i subskrybentów usług telekomunikacyjnych (nie tylko osób fizycznych), zagrożonych przetwarzaniem, a w szczególności udostępnianiem ich danych.
Trudno obecnie prognozować, czy i ewentualnie w jakim stopniu dojdzie do rozszerzania dotychczasowej ochrony danych osobowych przez uwzględnianie także interesów osób prawnych. Wprawdzie wyłom w zasadzie, iż przedmiotem zainteresowania prawa powinno być jedynie przetwarzanie danych osobowych osób fizycznych, został już w dyrektywie telekomunikacyjnej dokonany, niemniej wydaje się, że dalej idące uwzględnianie interesów osób prawnych mogłoby okazać się w tym sensie niebezpieczne, iżby prowadziło w istocie do erozji (poprzez swoiste "rozwodnienie") dopiero konstruowanego systemu ochrony danych osobowych osób fizycznych. Zauważmy przy tym, że w przypadku ochrony danych o osobach fizycznych oraz w przypadku ochrony danych o osobach prawnych mamy do czynienia z zupełnie odmiennymi kręgami interesów. W sytuacji pierwszej - chodzi (w dużej mierze) o dobra osobiste, prawo do prywatności, prawo decydowania o własnym wizerunku (informacyjnym samookreśleniu się), a więc o interesy związane z prawami człowieka. Z kolei tam, gdzie chodzi o osoby prawne, na plan pierwszy wysuwają się interesy majątkowe, których respektowanie powinno być domeną prawa handlowego lub ustawy o zwalczaniu nieuczciwej konkurencji. W sytuacjach szczególnych, drastycznych, gdy odwołanie się do wspomnianych dziedzin prawa nie przyniosłoby właściwych rezultatów, pozostaje możliwość sięgnięcia po przepisy kodeksu cywilnego i tam przewidzianą ochronę dóbr osobistych osób prawnych. Warto zwrócić uwagę, iż w odniesieniu do osób prawnych jawność wielu danych jest elementem koniecznym dla zagwarantowania pewności obrotu prawnego. Wreszcie nie można też pomijać faktu, że przyznanie intensywnej ochrony osobom prawnym ograniczałoby istotnie interesy konsumentów, a w wielu przypadkach nie miałoby również racjonalnego uzasadnienia .
V.Ochrona danych osobowych a działalność mediów
Uwagi wstępne
1.
Między ochroną danych osobowych a swobodą dostępu do nich i swobodą wykorzystania ich przez dziennikarzy istnieje niewątpliwy, zrozumiały "stan napięcia". Znajduje on swoje odbicie na różnych prawnych płaszczyznach. Odnotować go można na przykład jako konflikt zachodzący na tle Europejskiej Konwencji Praw Człowieka, a to pomiędzy normą z art. 8 (dotyczącą poszanowania życia prywatnego i normą z art. 10 (dotyczącą swobody wypowiedzi ). Identyczny problem istnieje również w świetle postanowień polskiej konstytucji, a to w związku, z jednej strony, z treścią art. 47 i 51 oraz, z drugiej strony, z treścią art. 54. Odnotujmy tutaj, że dla owej szczególnej kolizji zachodzącej w obrębie podstawowych praw człowieka pomiędzy ochroną danych osobowych a swobodą działania mediów nie ma istotnego znaczenia okoliczność, czy prawo do ochrony danych osobowych zostało wyodrębnione w konstytucji danego kraju czy też jest objęte ochroną płynącą z przepisów ogólnych (cywilnych, karnych) odnoszących się do prawa do prywatności.
Zagadnienie ograniczenia ochrony danych osobowych ze względu na swobodę funkcjonowania mediów było przedmiotem wielu opracowań przygotowanych przez organizacje międzynarodowe ; znalazło także swój bezpośredni wyraz w dyrektywie Rady i Parlamentu Europejskiego z dnia 24 października 1995 r. o ochronie osób przy przetwarzaniu danych osobowych. Spróbujmy zatem zastanowić się nad istotą tego problemu, sposobem rozwiązywania swoistych, powstających tu konfliktów oraz nad próbą oceny tej kwestii na gruncie polskiego prawa.
Media a dane osobowe - problemy ogólne
2.
Z problematyką danych osobowych w mediach związane są m.in. takie kwestie szczegółowe, jak:
zakładanie i prowadzenie zbiorów (baz) danych przez poszczególne redakcje (w ramach tego specyficzną grupę tworzą bazy zawierające dane wrażliwe, np. zbierane na podstawie informacji dotyczących procesów sądowych);
radiowe i telewizyjne archiwa elektroniczne;
funkcjonowanie agencji prasowych (przy czym wyróżnić tu należy zarówno kwestię zbierania danych i ich przetwarzania, jak i kwestię obowiązku ich aktualizacji), czemu towarzyszy często aspekt przekazywania danych za granicę;
udostępnianie dziennikarzom informacji ze zbiorów danych osobowych.
Przepisy Europejskiej Konwencji Praw Człowieka zawierają w odniesieniu do ochrony życia prywatnego postanowienie (art. 8 ust. 2), według którego "niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na (...) ochronę praw i wolności innych osób". Przyjmuje się, że to zastrzeżenie obejmuje gwarancję swobody prasy i stanowi podstawę do usunięcia przez ustawodawców krajów członkowskich kolizji rysującej się między przepisami chroniącymi dane osobowe a przepisami gwarantującymi wolność prasy. W rezultacie prezentowany jest pogląd, iż konwencja uprawnia kraje członkowskie do sytuowania przetwarzania danych osobowych przez media poza zakresem rygorów przewidzianych w ustawach dotyczących ochrony tych danych, choć przy całkowitym wyłączeniu w ustawie krajowej praw jednostek w tym zakresie mógłby powstać problem naruszenia wymogów konwencji w zakresie ochrony prawa do prywatności.
3.
Istnieją różne sposoby podejścia do problematyki funkcjonowania mediów w krajowych ustawach o ochronie danych osobowych. W niektórych spośród nich brak jest jakiejkolwiek wyraźnej regulacji w tej kwestii. Uważa się jednak, że taki stan oczywiście nie odbiera możliwości stosowania dla tej sfery (tj. na polu działalności mediów) ustaw o ochronie danych osobowych, aczkolwiek - ze względu na dotyczące wolności słowa i prasy postanowienia konstytucyjne oraz wspomnianych międzynarodowych konwencji - w rachubę wchodzić mogłoby bądź stosowanie przewidzianych ustawą mechanizmów ochronnych w ograniczonym zakresie, bądź nieegzekwowanie niektórych przepisów . Alternatywnym rozwiązaniem jest wprowadzenie do ustawy o ochronie danych osobowych wskazówki, która przesądzałaby o tym, czy, a jeśli tak - to jak dalece, uregulowania ustawy byłyby wyłączone w sferze działalności dziennikarskiej. Takie rozstrzygnięcia mogą się też znaleźć w odpowiednich "ustawach medialnych" (zwłaszcza w prawie prasowym).
Zarówno w cytowanym raporcie Rady Europy, jak i we wcześniejszych dokumentach , znaleźć można wyraźne zastrzeżenie, aby wprowadzone ustawą wyłączenia ochrony danych osobowych w obszarze działania prasy nie eliminowały ochrony praw jednostki. W tym kontekście zwraca się w szczególności uwagę na odpowiedzialność mediów za dozwolony sposób uzyskiwania danych osobowych , za ich merytoryczną poprawność, a także właściwe wyważenie dozwolonych granic zbierania i ujawniania informacji stanowiących dane wrażliwe. Warunki te mogą być między innymi realizowane przez stosowną regulację prawną, ale i właściwe, profesjonalne szkolenie dziennikarzy oraz stosowanie kodeksów etycznych.
Prawo Wspólnot Europejskich
4.
Szczegółowe postanowienie dotyczące omawianego problemu zawiera art. 9 dyrektywy 95/46/WE. Przepis ten stanowi, że kraje członkowskie zapewnią wyjątki lub wyłączenia w zakresie stosowania postanowień rozdziału II, IV i VI dla przetwarzania danych osobowych dokonywanego wyłącznie w celach dziennikarskich lub ze względu na twórczość literacką i artystyczną (artistic or literary expression), jednakże tylko w tym zakresie, w jakim są one konieczne dla pogodzenia (to reconcile) prawa do prywatności z zasadami stosowanymi w odniesieniu do swobody wypowiedzi (freedom of expression). Analizując to postanowienie należy zwrócić uwagę na następujące okoliczności.
Po pierwsze, wyłączenia wprowadzone ze względu na funkcje i rolę mediów w społeczeństwie nie odnoszą się do całości uregulowań dyrektywy. Zachowane pozostają, także w odniesieniu do dziennikarzy, obowiązki zapewnienia bezpieczeństwa danych , a także zasady odpowiedzialności (tu: mediów) względem jednostek za naruszenie ich praw (określone w rozdziale III dyrektywy). Nienaruszone pozostają również rozbudowane postanowienia rozdziału V dyrektywy dotyczące kodeksów etycznych (w tym ich opiniowania przez organy krajowe w zakresie zgodności z przepisami o ochronie danych osobowych).
Po drugie, zwolnienia mediów (łącznie z mediami elektronicznymi) z wielu rygorów dotyczących ochrony danych przewidzianych w dyrektywie (i odpowiednio - ustawach krajowych) mogą dotyczyć jedynie celów dziennikarskich przetwarzania takich danych. A zatem gdy chodzi o zbiory danych prowadzone przez media w innych celach (np. marketingu bezpośredniego lub w celu weryfikowania płatności abonentów), w pełni mają zastosowanie ogólne przepisy dyrektywy (i odpowiednio - ustaw).
Po trzecie, wprawdzie wprowadzenie ograniczeń w stosowaniu uregulowań dyrektywy przy przetwarzaniu danych do celów dziennikarskich ma charakter obowiązkowy, lecz jeśli chodzi o ich zakres, to powinien być on limitowany zasadą stosownego wyważenia racji i wartości związanych z poszanowaniem prywatności oraz prawem do swobodnej wypowiedzi. Niewątpliwie ustalenie stosownych relacji w ochronie tych dóbr zarówno w świetle dyrektywy, jak i Europejskiej Konwencji Praw Człowieka, posiada największe praktyczne znaczenie i wywołuje najwięcej wątpliwości zarówno teoretycznych, jak i powstających na tle rozwiązywania konkretnych sporów. Są one dwojakiego rodzaju. Część problemów dotyczy merytorycznych kryteriów, część zaś zagadnienia, czy odpowiednie, w miarę precyzyjne wskazówki, powinny być zamieszczane w ustawach czy też - mając na uwadze niemożność sformułowania ścisłych kryteriów i reguł - powinno się w tej mierze pozostawić większą swobodę sądom. Nie ulega wątpliwości, że na pełne stosowanie zasługuje tu zasada proporcjonalności wypracowana na gruncie art. 8 ust. 2 konwencji. Podkreśla się w szczególności, że zakres marginesu swobody oceny w poszukiwaniu równowagi między chronionymi dobrami zależy od charakteru, wagi i rodzaju interesów wchodzących w rachubę, od ich znaczenia dla interesów jednostki oraz stopnia ingerencji. Konieczne jest przy tym zachowanie proporcji między celem ingerencji a zastosowanymi środkami .
Poza tym należy wskazać, iż powoływane dokumenty - rezolucje i rekomendacja 1 (97) - wyraźnie akcentują, że przy stwierdzaniu (w ustawodawstwach lub judykatach krajowych) zachowania omawianej zasady proporcjonalności należy brać pod uwagę w szczególności istnienie specyficznych gwarancji dla praw jednostki związanych z funkcjonowaniem mediów. Chodzi przede wszystkim o prawo do odpowiedzi i do sprostowania nieprawdziwych informacji. Równolegle powinno się badać istnienie oraz treść "medialnych" i dziennikarskich kodeksów etycznych, a także funkcjonowanie zawodowych, dobrowolnych, organów nadzorujących działalność mediów, również w omawianym zakresie.
Dla ilustracji i lepszego zrozumienia omawianych zagadnień celowe wydaje się przedstawienie tych ograniczeń stosowania przepisów o ochronie danych osobowych w odniesieniu do mediów, jakie przyjęto w angielskiej ustawie z 1998 r. ; rozwiązanie to jest interesujące również ze względu na oryginalny sposób inkorporowania do prawa wewnętrznego unormowań występujących w dyrektywie. I tak, stosownie do art. 32 wspomnianej ustawy, konieczne jest spełnienie trzech warunków dla wyłączenia jej stosowania w sferze działania mediów:
przetwarzanie danych musi być dokonywane do celów dziennikarskich z zamiarem publikacji na ich podstawie materiału dziennikarskiego;
administrator danych musi posiadać racjonalne przeświadczenie, biorąc pod uwagę interes publiczny związany z poszanowaniem wolności wypowiedzi (freedom of expression), iż publikacja odpowiada interesowi społecznemu;
administrator danych musi mieć racjonalne (uzasadnione) przeświadczenie, że - biorąc pod uwagę wszystkie okoliczności - przestrzeganie postanowień ustawy o ochronie danych osobowych byłoby w tym konkretnym przypadku nie do pogodzenia z celami działalności dziennikarskiej .
Dodajmy, że ustawa brytyjska wprowadza specjalny mechanizm zabezpieczający przed "zablokowaniem" publikacji w wyniku powołania się na naruszenie ustawy o ochronie danych osobowych; zabezpieczenie to trwa do upływu 24 godzin od pierwszej publikacji materiału .
Z inną sytuacją mamy do czynienia w Niemczech. W przygotowywanej tu nowelizacji ustawy o ochronie danych osobowych, mającej implementować regulacje dyrektywy UE, przewidziano przepisy, na podstawie których także media miały "zostać wciągnięte" w system kontroli przetwarzania danych. Każdemu obywatelowi miało być przy tym zapewnione roszczenie informacyjne co do wszystkich zebranych i zapisanych na jego temat danych. Ten zamysł wywołał ostry sprzeciw i krytykę ze strony Niemieckiej Rady Prasowej oraz licznych mediów. Ostatecznie udało się jednak Federalnemu Ministrowi Spraw Wewnętrznych oraz Radzie Prasowej osiągnąć kompromis w sprawie kontrolowania danych gromadzonych przez media. Zgodnie z nim uwzględniona powinna być specyfika pracy redakcyjnej. Kontrolę nad przestrzeganiem przepisów o ochronie danych w mediach sprawować ma nie Generalny Inspektor (tam: Datenschutzbeauftragten), lecz Niemiecka Rada Prasowa, będąca na tym polu "organem samokontroli". Nadto Rada Prasowa powinna wypracować kodeks ochrony danych przewidziany dla redakcji oraz procedurę zażaleniową przed niezależną komisją. Poza tą samokontrolą nie jest natomiast przewidziana kontrola zewnętrzna mediów .
W wyniku nowelizacji niemieckiej ustawy o ochronie danych osobowych, która weszła w życie dnia 23 maja 2001 r., zmieniony został przepis odnoszący się do przetwarzania danych osobowych przez media (§ 41 Bundesdatenschutzgesetz - BDSG ). Zgodnie z nowym brzmieniem tego przepisu kraje związkowe powinny w swoim ustawodawstwie uregulować, iż do gromadzenia, przetwarzania i wykorzystywania danych osobowych przez prasę wyłącznie dla celów prasowo-redakcyjnych albo literackich zastosowanie będą miały odpowiednie przepisy dotyczące obowiązku zachowania tajemnicy danych (§ 5 BDSG), technicznych i organizacyjnych środków zabezpieczenia danych (§ 9 BDSG) oraz opracowywania "reguł postępowania wspierających realizację regulacji dotyczących ochrony danych osobowych" (§ 38a BDSG), a także przepisy dotyczące odpowiedzialności (§ 7 BDSG).
Jako przykład nieco odmiennej implementacji norm zawartych w art. 9 dyrektywy 95/46/WE można wskazać przepisy holenderskiej ustawy o ochronie danych osobowych z dnia 6 lipca 2000 r. (Wet bescherming persoonsgegevens). Artykuł 3 ustawy zawiera ogólne wyłączenie jej stosowania w odniesieniu do przetwarzania danych dla celów prasowych, artystycznych i literackich, określając jednocześnie wyjątki w tym zakresie. Ustawa zwalnia podmioty przetwarzające dane z obowiązku informowania osób, których dane dotyczą, obowiązku zgłoszenia zbioru danych, a także wyłącza stosowanie przepisów dotyczących wstępnej kontroli przetwarzania oraz uprawnień osób zainteresowanych. Jednakże przy przetwarzaniu danych dla wskazanych powyżej celów, zgodnie z holenderską ustawą, zastosowanie mają przepisy dotyczące podstawowych zasad przetwarzania i ochrony danych, ogólnych kryteriów dopuszczalności przetwarzania danych (z wyjątkiem zakazu przetwarzania danych sensytywnych), opracowywania kodeksów postępowania oraz przepisy dotyczące odpowiedzialności .
Prawo polskie
5.
Spróbujmy obecnie rozpatrzyć analizowany problem w świetle prawa polskiego. Najogólniejszą podstawę dopuszczalności przetwarzania danych osobowych przez prasę wywodzić można z norm konstytucyjnych. Mamy tu na myśli przede wszystkim prawo do wolności prasy określone w art. 14 Konstytucji RP dotyczącym wolności prasy (i chronione w zakresie określonym w art. 77 i 79 ustawy zasadniczej) orazart. 54 Konstytucji RP dotyczącym wolności pozyskiwania i rozpowszechniania informacji. Zasadne wydaje się przy tym przyjęcie założenia, że "wolność wypowiedzi i prawo do rzetelnego informowania" obejmują swym zakresem uprawnienie do przetwarzania danych osobowych. Interpretacja taka nie jest pozbawiona racji, skoro na przykład Międzynarodowy Pakt Praw i Politycznych i Obywatelskich z dnia 19 grudnia 1966 r. wyraźnie stanowi (w art. 19 ust. 2), że prawo do swobodnego wyrażania opinii (co jest przecież odpowiednikiem prawa do "wolności wypowiedzi") obejmuje swobodę poszukiwania, otrzymywania i rozpowszechniania wszelkich informacji .
6.
Kolejnym aktem normatywnym, który wprawdzie nie zawiera zbyt wielu szczegółowych przepisów dotyczących przetwarzania i ochrony danych osobowych, ale niewątpliwie ma w tym zakresie zasadnicze znaczenie, jest ustawa z dnia 26 stycznia 1984 r. - Prawo prasowe . Ustawa niezwykle szeroko definiuje pojęcie "prasa" jako "publikacje periodyczne, które nie tworzą zamkniętej, jednorodnej całości, ukazujące się nie rzadziej niż raz do roku, opatrzone stałym tytułem albo nazwą, numerem bieżącym i datą, a w szczególności: dzienniki i czasopisma, serwisy agencyjne, stałe przekazy teleksowe, biuletyny, programy radiowe i telewizyjne oraz kroniki filmowe; prasą są także wszelkie istniejące i powstające w wyniku postępu technicznego środki masowego przekazywania, w tym także rozgłośnie oraz tele- i radiowęzły zakładowe, upowszechniające publikacje periodyczne za pomocą druku, wizji, fonii lub innej techniki rozpowszechniania; prasa obejmuje również zespoły ludzi i poszczególne osoby zajmujące się działalnością dziennikarską". W tym pojęciu mieści się więc nie tylko prasa w potocznym tego słowa znaczeniu, ale także inne środki masowego przekazu, jak na przykład radio i telewizja. Prawo prasowe reguluje prasową działalność wydawniczą i dziennikarską. Dziennikarzem jest osoba zajmująca się redagowaniem, tworzeniem lub przygotowywaniem materiałów prasowych, pozostająca w stosunku pracy z redakcją albo zajmująca się taką działalnością na rzecz i z upoważnienia redakcji, natomiast materiałem prasowym jest każdy opublikowany lub przekazany do opublikowania w prasie tekst albo obraz o charakterze informacyjnym, publicystycznym, dokumentalnym lub innym, niezależnie od środków przekazu, rodzaju, formy, przeznaczenia czy autorstwa (art. 7 ust. 2 pr. pras.).
Artykuł 1 pr. pras. stanowi o tym, że prasa korzysta z wolności wypowiedzi i urzeczywistnia prawo obywateli do ich rzetelnego informowania, jawności życia publicznego oraz kontroli i krytyki społecznej. Dla pełnej realizacji tych celów konieczne jest często przetwarzanie różnego rodzaju informacji, w tym także danych osobowych. Przepisy prawa prasowego nakładają na prasę obowiązek prawdziwego przedstawiania omawianych zjawisk, działania zgodnie z etyką zawodową i zasadami współżycia społecznego oraz w granicach określonych przepisami prawa. Dziennikarze są obowiązani zachować szczególną staranność i rzetelność przy zbieraniu i wykorzystaniu materiałów prasowych, zwłaszcza sprawdzić zgodność z prawdą uzyskanych wiadomości lub podać ich źródło, a także chronić dobra osobiste oraz interesy działających w dobrej wierze informatorów i innych osób, które okazują dziennikarzom zaufanie.
Istotne z punktu widzenia ochrony danych osobowych postanowienia zawiera przepis art. 14 pr. pras. Zgodnie ze wskazanym tu przepisem publikowanie lub rozpowszechnianie w inny sposób informacji utrwalonych za pomocą zapisów fonicznych i wizualnych wymaga zgody osób udzielających informacji, dziennikarz nie może odmówić osobie udzielającej informacji autoryzacji dosłownie cytowanej wypowiedzi, o ile nie była ona uprzednio publikowana, a osoba udzielająca informacji może z ważnych powodów społecznych lub osobistych zastrzec termin i zakres jej opublikowania. Ponadto dziennikarz nie może opublikować informacji, jeżeli osoba udzielająca jej zastrzegła to ze względu na tajemnicę służbową lub zawodową.
Zgodnie z art. 14 ust. 6 pr. pras. nie wolno bez zgody osoby zainteresowanej publikować informacji oraz danych dotyczących prywatnej sfery życia, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby. Wskazany tu przepis należy uznać za najważniejszy, gdy chodzi o ochronę danych osobowych przez prasę.
Doniosłe znaczenie w zakresie przetwarzania i ochrony danych osobowych ma także instytucja prasowej tajemnicy dziennikarskiej. Zgodnie z art. 15 pr. pras. dziennikarz ma obowiązek zachowania w tajemnicy: danych umożliwiających identyfikację autora materiału prasowego, listu do redakcji lub innego materiału o tym charakterze, jak również innych osób udzielających informacji opublikowanych albo przekazanych do opublikowania, jeżeli osoby te zastrzegły nieujawnianie powyższych danych, a także wszelkich informacji, których ujawnienie mogłoby naruszać chronione prawem interesy osób trzecich. Obowiązek zachowania tajemnicy dotyczy również innych niż dziennikarze osób zatrudnionych w redakcjach i wydawnictwach. Wyjątkowo dziennikarz jest zwolniony z zachowania tajemnicy zawodowej, w razie gdy informacja, materiał prasowy, list do redakcji lub inny materiał o tym charakterze dotyczy przestępstwa określonego w art. 254 k.k. (chodzi tu o art. 254 kodeksu karnego z 1969 r., odnoszący się do niezawiadomienia o popełnieniu zbrodni określonych w art. 122-124, 126-128, oraz art. 148 k.k. - tekst jedn. zdrady ojczyzny, szpiegostwa, aktu terrorystycznego, dywersji, sabotażu oraz zabójstwa), albo autor lub osoba przekazująca taki materiał wyłącznie do wiadomości dziennikarza wyrazi zgodę na ujawnienie jej nazwiska lub tego materiału (art. 16 pr. pras.).
Szczególna regulacja dotycząca przetwarzania danych osobowych zawarta w prawie prasowym odnosi się do przetwarzania danych uczestników postępowania sądowego lub przygotowawczego. Artykuł 13 ust. 2 pr. pras. zakazuje publikowania w prasie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe, jak również danych osobowych i wizerunku świadków, pokrzywdzonych i poszkodowanych, chyba że osoby te wyrażą na to zgodę. Jednakże właściwy prokurator lub sąd może zezwolić na ujawnienie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie, ze względu na ważny interes społeczny.
Warto także zwrócić uwagę na przewidziane w rozdziale piątym prawa prasowego instytucje sprostowania i odpowiedzi. Na wniosek zainteresowanej osoby fizycznej, prawnej lub innej jednostki organizacyjnej redaktor naczelny redakcji właściwego dziennika lub czasopisma jest obowiązany opublikować bezpłatnie: rzeczowe i odnoszące się do faktów sprostowanie wiadomości nieprawdziwej lub nieścisłej, a także rzeczową odpowiedź na stwierdzenie zagrażające dobrom osobistym. Obie wskazane tu instytucje stanowić mają swoistą gwarancję obrony praw podmiotów, których publikacje prasowe dotyczą.
Zgodnie z przepisem art. 3a pr. pras., w zakresie prawa dostępu prasy do informacji publicznej (w tym również do stanowiących informacje publiczne danych osobowych) stosuje się przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198).
7.
Ustawa o ochronie danych osobowych w pierwotnym brzmieniu nie uwzględniała kwestii "zderzenia" wolności mediów z ochroną danych osobowych. Ten stan rzeczy sprawiał, że istniała konieczność odpowiedniej interpretacji przepisów ustawy, dokonywania takiej wykładni, która pozwalałaby łagodzić konflikty występujące na omawianej płaszczyźnie. Niewątpliwie jednak taka sytuacja była uciążliwa, gdyż poddanie działalności dziennikarskiej ogólnym wymogom określonym w ustawie o ochronie danych osobowych bez uwzględnienia specyfiki sektorowej prowadziło do wielu utrudnień, a niekiedy nawet uniemożliwiało swobodne jej wykonywanie. Ponadto obowiązująca w tym zakresie polska regulacja prawna nie odpowiadała wymogom określonym w dyrektywie 95/46/WE.
8.
Dokonana dnia 22 stycznia 2004 r. nowelizacja zasadniczo zmieniła stan prawny w omawianym zakresie. Do ustawy o ochronie danych osobowych dodany został art. 3a ust. 2, zgodnie z którym ustawy, z wyjątkiem przepisów art. 14-19 i 36 ust. 1, nie stosuje się do prasowej działalności dziennikarskiej w rozumieniu ustawy - Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. W ten sposób media zostały zwolnione z większości obowiązków wynikających z ustawy o ochronie danych osobowych. Jest to niewątpliwie krok w dobrym kierunku, choć redakcja wspomnianego przepisu budzić może uzasadnione wątpliwości.
Wyłączenie, o którym mowa w art. 3a ust. 2 u.o.d.o., nie obejmuje przepisów dotyczących kontroli sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych (art. 14-19 u.o.d.o.) oraz obowiązku zabezpieczenia i ochrony danych (art. 36 ust. 1 u.o.d.o.). Oznacza to, iż podmiot przetwarzający dane osobowe do celów prasowej działalności dziennikarskiej (a także do działalności literackiej i artystycznej) powinien zastosować środki techniczne i organizacyjne zapewniające ochronę tych danych odpowiednią do zagrożeń oraz kategorii danych (szczególną ochroną powinny zostać objęte tzw. dane sensytywne). Zabezpieczenie to powinno w szczególności chronić dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osoby nieuprawnione, przetwarzaniem niezgodnym z prawem, a także zmianą, utratą, uszkodzeniem lub zniszczeniem. Spełnienie wymogu zabezpieczenia danych może być przedmiotem kontroli dokonywanej przez Generalnego Inspektora, jego zastępcę lub inspektorów biura GIODO.
9.
W obowiązującym stanie prawnym podmioty przetwarzające dane osobowe w prasowej działalności dziennikarskiej nie podlegają licznym obowiązkom przewidzianym w ustawie o ochronie danych osobowych. Podmioty te nie muszą już opierać swojej działalności w omawianym zakresie na odpowiedniej podstawie dopuszczalności przetwarzania danych osobowych określonej w art. 23 ust. 1 oraz art. 27 ust. 2 u.o.d.o., a właściwą podstawą prawną ich działania są przepisy prawa prasowego. Media w związku z działalnością dziennikarską nie mają także obowiązków informacyjnych, o których mowa w ustawie o ochronie danych osobowych (zarówno tzw. czynnego obowiązku informacyjnego określonego w art. 24 i 25 u.o.d.o., jak i biernego obowiązku informowania, uregulowanego w art. 33 u.o.d.o.). W odniesieniu do zbiorów danych osobowych służących wyłącznie prasowej działalności dziennikarskiej nie ma również obowiązku zgłaszania takich zbiorów do rejestracji.
Wprawdzie przepis art. 3a ust. 2 u.o.d.o. wyłącza w zakresie prasowej działalności dziennikarskiej również stosowanie art. 26 u.o.d.o., niemniej w prawie prasowym wskazać można kilka przepisów odpowiadających zasadom ogólnym, zgodnie z którymi powinny być przetwarzane dane osobowe. Można uznać, iż odpowiednikiem ogólnego obowiązku dołożenia przy przetwarzaniu danych osobowych szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 ust. 1 u.o.d.o.), są w prawie prasowym, wspominane już wcześniej, przepisy:
art. 12 ust. 1 pr. pras. nakładający na dziennikarzy m.in. obowiązek zachowania szczególnej staranności i rzetelności przy zbieraniu i wykorzystaniu materiałów prasowych oraz ochrony dóbr osobistych, a także interesów działających w dobrej wierze informatorów i innych osób, które okazują mu zaufanie;
art. 14 ust. 1 pr. pras. nakazujący dziennikarzom uzyskanie zgody na publikowanie lub rozpowszechnianie w inny sposób informacji utrwalonych za pomocą zapisów fonicznych i wizualnych;
art. 14 ust. 5 pr. pras. zakazujący publikowania informacji, które osoba je udzielająca zastrzegła ze względu na tajemnicę służbową lub zawodową;
art. 14 ust. 6 pr. pras. zakazujący publikowania informacji oraz danych dotyczących prywatnej sfery życia bez zgody osoby zainteresowanej, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby.
Wymienione przepisy odnoszą się wprawdzie w większości do różnych informacji wykorzystywanych w działalności dziennikarskiej, niemniej mają także zastosowanie, gdy chodzi o przetwarzanie danych osobowych.
Nie sposób w tym kontekście nie wspomnieć także przepisów art. 15 i 16 pr. pras., w których uregulowane zostały kwestie tajemnicy dziennikarskiej. Ze względu na podstawowy cel działalności prasowej obowiązek ten jednak będzie miał w zakresie ochrony danych osobowych ograniczone znaczenie.
10.
Kontrowersje mogą się pojawić, gdy chodzi o uprawnienia osób, których dane są poddawane przetwarzaniu. Nie ulega wątpliwości, że wskutek wyłączenia zawartego w art. 3a ust. 2 u.o.d.o. nie mają zastosowania przepisy art. 32-35 u.o.d.o., dotyczące praw osoby, której dane dotyczą. Chodzi tu o prawo do uzyskania informacji oraz prawo do korygowania danych. Powstaje wątpliwość, czy w tym zakresie można powoływać się na ogólne uprawnienia do korygowania danych, wynikające z przepisu art. 51 ust. 4 Konstytucji. Gdyby przyjąć, że z uprawnień tych można skorzystać wobec wszystkich podmiotów przetwarzających dane osobowe, wówczas należałoby uznać, że również osoby, których dane przetwarzane są w związku z prasową działalnością dziennikarską, mają prawo żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Jeżeli natomiast przyjmiemy, że uprawnienia z art. 51 ust. 4 Konstytucji przysługują wyłącznie w odniesieniu do danych zawartych w urzędowych dokumentach i zbiorach danych, to należałoby uznać, że w omawianym przypadku uprawnienia te nie przysługują. Warto jednak zwrócić uwagę na to, iż prawo prasowe przewiduje odmienny sposób realizacji uprawnień, które ze swej istoty bliskie są uprawnieniu do korygowania danych. Chodzi tu mianowicie o sygnalizowane już powyżej instytucje sprostowania i odpowiedzi (uregulowane w art. 31-33 pr. pras.). Wydaje się, że są to typowe instrumenty, dzięki którym osoba, której dane są przetwarzane przez media, może realizować ogólne uprawnienie do korygowania danych na swój temat, uwzględniające specyfikę działalności prasowej.
11.
Poza wyłączeniem z art. 3a ust. 2 u.o.d.o. pozostaje działalność mediów, niebędąca działalnością dziennikarską. Oznacza to, że do takiej działalności przepisy ustawy o ochronie danych osobowych będą miały pełne zastosowanie. Jako przykład wskazać tu można działalność wydawniczą oraz działalność marketingową. Redakcje prasowe bądź wydawnictwa, prowadząc zbiory danych swoich klientów (np. prenumeratorów), mają nadal obowiązek zgłoszenia takich zbiorów do rejestracji oraz wypełniania, w zakresie przetwarzania tych danych, innych obowiązków przewidzianych przepisami ustawy o ochronie danych osobowych.
12.
Redakcja art. 3a ust. 2in fine budzi poważne zastrzeżenia. Ze sformułowania zawartego w końcowej części omawianego przepisu wynika, że jeżeli "wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą", wyłączenie, o którym mowa w tym przepisie, nie znajduje zastosowania. Przy literalnej wykładni tego przepisu można byłoby dojść do paradoksalnego wniosku, iż w sytuacji, gdy przetwarzanie danych naruszałoby w sposób istotny prawa osób, których dane dotyczą, należałoby zgłosić zbiór zawierający takie dane do rejestracji i spełnić inne obowiązki wynikające z ustawy. Paradoks polega na tym, że w analizowanym przypadku nie byłoby możliwe spełnienie wymogów ustawowych, gdyż ustawa nakłada na administratora obowiązek dołożenia szczególnej staranności w celu ochrony osób, których dane dotyczą. Istota problemu tkwi w tym, że dane nie powinny być przetwarzane w sposób, który istotnie narusza prawa osób, a nie w tym, by do przetwarzania danych w taki sposób stosować ustawę o ochronie danych. Należałoby więc dokonać zmiany końcowej części przepisu art. 3a ust. 2, tak aby usunąć występującą tam nieścisłość.
13.
Warto rozważyć także potrzebę opracowania odpowiednich kodeksów etycznych dotyczących przetwarzania danych osobowych przez media oraz ustanowienia - zgodnie z powoływaną dyrektywą - wymogu stosownego trybu uprzedniego opiniowania takich kodeksów przez Generalnego Inspektora Ochrony Danych Osobowych.
14.
Na temat przetwarzania i ochrony danych przez media por. także komentarz do art. 3a ust. 2 u.o.d.o.
VI.Przetwarzanie i ochrona danych osobowych w sieciach komputerowych
Uwagi ogólne
1.
Postęp techniczny stwarzał i nadal stwarza nowe wyzwania dla skutecznej ochrony prywatności i danych osobowych . Podobnie jak kiedyś z powodu komputerów , tak obecnie dzieje się to głównie za sprawą rozległych sieci informatycznych. Mogłoby wprawdzie w pierwszej chwili wydawać się, że zgodnie z ogólną zasadą, według której "co jest zakazane poza sieciami, jest niedozwolone także w sieciach komputerowych" , nie powstaje tu specyficzna problematyka prawna, to jednak ocena taka nie byłaby prawidłowa. Dowodem mogą być inicjatywy legislacyjne (które dalej bardziej szczegółowo charakteryzujemy), wywołane koniecznością dopasowania generalnych przepisów dotyczących danych osobowych do właściwości sieci komputerowych. Z drugiej strony łatwo można wykazać, iż niektóre specyficzne właściwości sieci komputerowych niejako z natury rzeczy wywołują nieznane wcześniej zagrożenia dla dóbr osobistych, skłaniając do poszukiwań, także prawnych, środków zaradczych.
Nie jest też odkrywcze stwierdzenie, że przypadki naruszania dóbr osobistych, w tym prywatności człowieka, nasilają się wraz z gwałtownym rozwojem środków masowego komunikowania. Nowe formy publicznego udostępniania wypowiedzi oraz rozmaitych materiałów stwarzają poważne trudności w sferze ochrony przed rozpowszechnianiem stwierdzeń nieprawdziwych, zniesławiających lub w inny sposób naruszających dobra osobiste. Zarzuty tego rodzaju kierowane są obecnie przede wszystkim pod adresem internetu . Cały obszerny problem ochrony danych osobowych, który już od lat 70. w wielu krajach zaczął być ujmowany w prawne ramy, nabrał zupełnie nowego wymiaru w kontekście tego rodzaju medium oraz oferowanych przezeń obecnie form elektronicznego zbierania, przetwarzania i udostępniania, także przesyłania za granicę danych.
W literaturze prawniczej dyskutuje się nad tym, jak zapewnić ochronę i kontrolę wykorzystania danych osobowych przy nowoczesnych możliwościach przepływu informacji . Podnosi się na przykład, że dotychczasowe krajowe ustawodawstwa w sprawie ochrony danych nie mogą już być efektywnie zastosowane na globalnych autostradach informacyjnych wobec zdecentralizowanego i spontanicznego (żeby nie powiedzieć - anarchicznego) internetu . Niebezpieczeństwo, na jakie zwraca się uwagę, polega też na możliwości ujawniania poufnych danych, które są automatycznie przetwarzane, oraz możliwości fałszowania czy zmieniania przekazywanych danych. Problemem jednak, który wysuwa się na pierwszy plan, są nowe zagrożenia w sferze prywatności jednostki. Badania prowadzone w USA i w Europie dowodzą, iż użytkownicy internetu coraz bardziej są zaniepokojeni tym, że ich zachowanie w sieci może być nadzorowane tak dla osiągnięcia pewnych celów handlowych, jak i z innych pobudek. Im dalej w życie społeczne wkraczają sieci komputerowe, tym bardziej rośnie skala tego niebezpieczeństwa . Obawy te są uzasadnione. Chodzi bowiem o niebezpieczeństwo, jakie wprowadzają takie elementy struktury sieci komputerowych, jak: systemy wyszukiwawcze , programy umożliwiające "mierzenie" korzystania przez użytkowników z określonych adresów , tzw. cookies .
2.
Odrębne zagrożenia powstają ze względu na handel elektroniczny . Nie przysparza dziś poważnych trudności, przy równocześnie relatywnie niskich kosztach, ustalenie, kto i kiedy oraz jakie "wywoływał" informacje , z kim prowadzona była korespondencja elektroniczna, kto uczestniczył w określonych forach dyskusyjnych i jakie prezentował tam poglądy itd. W ten sam sposób można zorientować się, jakie wypowiedzi na publicznym forum internetu składała dana osoba. Możliwe jest (nawet bez naruszenia tajemnicy korespondencji) śledzenie poczty elektronicznej, zbieranie informacji o adresatach listów przesyłanych za pośrednictwem sieci.
Należy jednak uwzględnić i to, że istnieją lub są aktualnie rozwijane technologie, które w sieciach komputerowych mogą relatywnie skutecznie zabezpieczyć ochronę danych osobowych. Chodzi tu m.in. o stosowanie kryptografii dla zapewnienia anonimowości i prywatności, przyjęcie systemów przeciwdziałających identyfikowaniu klientów w handlu elektronicznym czy też stosowanie systemów filtrujących uniemożliwiających dowolne "śledzenie" aktywności jednostek w sieci komputerowej .
Oprócz wdrożenia odpowiednich rozwiązań technicznych, dla ochrony prywatności w sieci konieczne są wysiłki w celu podniesienia świadomości użytkowników co do zagrożeń występujących w internecie , a także opracowanie stosownych regulacji prawnych uwzględniających specyfikę przetwarzania i ochrony danych w środowisku sieciowym.
Niemiecka ustawa o ochronie danych osobowych przy teleusługach
3.
Analizując problematykę przetwarzania i ochrony danych osobowych w sieciach komputerowych nie można pominąć pierwszej szczegółowej regulacji prawnej o zasięgu ogólnokrajowym, jaką jest niemiecka ustawa o ochronie danych przy teleusługach (Gesetz über den Datenschutz bei Telediensten, Teledienstedatenschutzgesetz: TDDSG) z dnia 22 czerwca 1997 r. Ustawa reguluje stosunki między usługodawcą a użytkownikiem usług w sieci, natomiast poza regulacją ustawową pozostaje gromadzenie, przetwarzanie i wykorzystywanie danych osobowych do celów wyłącznie zawodowych lub służbowych albo wyłącznie do kierowania procesami pracy lub handlowymi w obrębie przedsiębiorstwa, koncernu czy instytucji publicznej. W wyniku nowelizacji ustawy o teleusługach (TDG) dokonano w 2001 r. wyraźnego rozgraniczenia między pojęciami: teleusługi (Telediensten) i telekomunikacja (Telekommunikation). Dzięki temu wyraźniejsza stała się także różnica między uregulowaniem ochrony danych osobowych występującym w TDDSG a regulacjami zawartymi w rozporządzeniu o ochronie danych w telekomunikacji (Telekommunikations-Datenschutzverordnung: TDSV) . Chodzi w szczególności o relacje między "danymi związanymi z użytkowaniem sieci informatycznych" (Nutzungsdaten) o których mowa w TDDSG , a "danymi związanymi z połączeniami telekomunikacyjnymi" (Verbindungsdaten) określonymi w TDSV.
Ustawa o ochronie danych przy teleusługach zawiera szczególne postanowienia dotyczące m.in. zasad przetwarzania danych, zobowiązań dostawcy usług w sieciach, swobody umów ze względu na zbieranie danych oraz dopuszczalnych granic wykorzystywania tak danych osobowych, jak i danych odnoszących się do korzystania przez daną osobę z usług. Dostawcy usług powinni umożliwić użytkownikom w zakresie, w jakim jest to usprawiedliwione i od strony technicznej możliwe - realizowanie i opłacanie teleusług anonimowo lub pod pseudonimem; o opcji tej użytkownik powinien być poinformowany. Na specjalną uwagę zasługują przy tym regulacje zakazujące uzależniania umów z dostawcami usług w sieciach od zgody osoby (usługobiorcy) na wykorzystanie jej danych osobowych do innych celów, o ile nie jest możliwe uzyskanie takiej usługi w inny sposób przez użytkownika (§ 3 ust. 4 TDDSG). Z kolei stosownie do § 5 omawianej ustawy dane osobowe mogą być zbierane, przetwarzane i wykorzystywane jedynie w koniecznych granicach, niezbędnych do zawarcia umowy w sprawie usług dostawcy oraz do ustalenia lub zmodyfikowania warunków tej umowy. Wykorzystanie tych danych do reklamy, porad, badań rynkowych lub dotyczących zapotrzebowania na "usługi sieciowe" wymaga wyraźnej zgody zainteresowanego.
Jeżeli chodzi natomiast o dane dotyczące korzystania z "usług sieciowych" przez użytkownika, to ustawodawca niemiecki zezwala na ich wykorzystanie wyłącznie w zakresie umożliwiającym realizację usług albo w zakresie koniecznym dla ustalenia należnej opłaty z tego tytułu. Dane powyższe nie mogą być udostępniane osobom trzecim, w tym innym dostawcom (usługodawcom). W przypadku zapewniania usług świadczonych przez innych dostawców, można tym ostatnim przekazywać wyłącznie odpowiednie dane niezbędne do dokonywania rozliczeń (obciążeń) oraz - przy zachowaniu anonimowości - do badań rynkowych.
Ustawa dopuszcza składanie na określonych warunkach oświadczeń drogą elektroniczną, w tym o wyrażeniu zgody na przetwarzanie danych osobowych (§ 4 ust. 2 TDDSG). Na życzenie zainteresowanego usługodawca może również elektronicznie przekazać mu informację o zebranych danych, które go dotyczą.
Ustawa o ochronie danych przy teleusługach przewiduje także (w § 9) odpowiedzialność dostawcy usług za naruszenie przepisów polegające na: uzależnianiu świadczenia usługi od wyrażenia zgody na przetwarzanie danych; niedopełnieniu obowiązku informowania użytkownika oraz obowiązku zabezpieczenia danych; pozyskiwaniu, przetwarzaniu i wykorzystywaniu danych w sposób sprzeczny z ustawą, a także łączeniu profilu sporządzonego pod pseudonimem z danymi użytkownika posługującego się tym pseudonimem. Czyny takie zagrożone są grzywną do wysokości 50 tysięcy euro.
Omawiana ustawa w pierwotnym brzmieniu nakazywała usługodawcom kierować się przy dobieraniu i konfigurowaniu sprzętu technicznego tym, aby dane osobowe były zbierane, wykorzystywane lub przetwarzane w możliwie najmniejszym zakresie. Reguła oszczędności w zbieraniu danych została uogólniona i łącznie z innymi podstawowymi zasadami wyrażonymi w TDDSG (co do unikania przetwarzania danych oraz anonimizacji i posługiwania się pseudonimem) została włączona do federalnej ustawy o ochronie danych osobowych (BDSG) jako nadrzędna, powszechna zasada ochrony danych .
Handel elektroniczny
4.
Odrębnie należy wskazać na ograniczenia swobodnego kształtowania handlu elektronicznego związane z ochroną danych osobowych. Wyrażany jest pogląd, iż jest to obecnie bodajże najważniejsze zagadnienie internetu . Dotykamy w tym miejscu niewątpliwie jednego z najbardziej kontrowersyjnych zagadnień w obrębie analiz, propozycji i realizowanych już przedsięwzięć związanych z zawieraniem umów przez sieci komputerowe. Trudno zaprzeczyć, że możliwość monitorowania transakcji dokonywanych przez użytkowników sieci i uzyskiwanie na tej drodze wiadomości o operacjach finansowych, o zachowaniach i decyzjach handlowych, o "zwyczajach konsumpcyjnych" itp. stwarza poważne zagrożenie dla prywatności i ochrony danych osobowych . Skłania również do pewnej rezerwy wobec uczestniczenia w tego rodzaju obrocie prawnym. W rezultacie jednym z istotniejszych aspektów, a może i hamulców upowszechnienia handlu elektronicznego, stał się problem zabezpieczenia prywatności, tajemnicy handlowej, tajemnicy bankowej. Dostrzegli to już producenci sprzętu komputerowego i programów, jak również dostarczyciele usług w internecie ; ten aspekt zdaje się brać pod uwagę też dyrektywa o ochronie prywatności i komunikacji elektronicznej, która przyczynia się do ochrony danych w sieciach, choć nie stanowi ona expressis verbis o internecie .
Problem dotyczy nie tylko możliwości gromadzenia wielkiej liczby informacji dotyczących "zachowywania się" w sieci użytkowników, lecz - jak sygnalizowaliśmy już wcześniej - także równoległego istnienia programów umożliwiających zainteresowanemu w miarę proste poszukiwanie w sieci i zestawianie danych dotyczących określonej jednostki. Jedna z amerykańskich gazet dla eksperymentu zgromadziła o losowo wybranej osobie następujące informacje: jej adres, telefon, miejsce: urodzenia, studiów i pracy, zainteresowania (teatr amatorski, ulubiony rodzaj piwa, restauracji, preferencje co do sposobu spędzania wakacji, poglądy na wybrane problemy wyrażone w grupach dyskusyjnych) . Zestawianie wszelkich tego rodzaju wiadomości pozwala na rekonstruowanie, jak to się określa, profilów osobowościowych.
Przy pomocy specjalnych programów (tzw. packet sniffern) mogą być wyszukiwane przepływające w sieci dane określonego rodzaju, na przykład wybierane według słów kluczowych lub według danych o karcie kredytowej. Tak uzyskane informacje mogą być wykorzystane dla dalszych ingerencji lub nawet przestępstw gospodarczych. Z drugiej strony potrzebę kontrolowania płatności dokonywanych przy pomocy kart poprzez sieci komputerowe usprawiedliwia dziś okoliczność, iż właśnie sieci te dały szansę łatwego prania brudnych pieniędzy. Jeśli chce się zatem walczyć z przestępczością komputerową, trzeba - jak chcą niektórzy - zgodzić się na monitorowanie przepływu danych.
5.
Jak wskazano w opinii nr 1/2000 przygotowanej dla Data Protection Working Party w sprawie niektórych aspektów ochrony danych osobowych w handlu elektronicznym , prowadzenie kampanii reklamowej lub korespondencji handlowej wymaga zgromadzenia rozbudowanej i stosownej listy adresów e-mailowych potencjalnych klientów. Z perspektywy ochrony danych osobowych powstaje tu przede wszystkim problem zbierania i korzystania z adresów internetowych bez zgody zainteresowanego. Odrębnym zagadnieniem jest otrzymywanie znacznej liczby niechcianej (niezamawianej) korespondencji (które to zjawisko określane jest jako spamming). Ochrona danych osobowych jest przy tym często lekceważona - jak wynika z cytowanej opinii - ze względu na atrakcyjność tego rodzaju kampanii reklamowej, między innymi ze względu na niski koszt jej prowadzenia, a także - dodajmy - możliwość łatwego adresowania jej do wyselekcjonowanego kręgu zainteresowanych konsumentów.
W cytowanej opinii sformułowane zostały podstawowe zasady co do zbierania i wykorzystywania adresów internetowych, które - w naszym przekonaniu - uznać można za aktualne i zasługujące na przeniesienie na grunt prawa polskiego. Po pierwsze, całość rozwiązań oparta jest na (jakby oczywistym, choć przecież nierozstrzygniętym wprost przez polską ustawę) założeniu, iż adres internetowy, jeśli dotyczy osoby fizycznej, stanowi dane osobowe w rozumieniu dyrektywy 95/46/WE. Takie też stanowisko przyjęliśmy w komentarzu do polskiej ustawy . Po drugie, przy omawianym przetwarzaniu danych należy w pełni stosować wszystkie postanowienia wymienionej dyrektywy, łącznie z ustanowionymi ogólnymi zasadami przetwarzania danych. Po trzecie, w przypadku gdy adresy internetowe są zbierane bezpośrednio od osób, których dotyczą, osoby te muszą być informowane o tym fakcie najpóźniej w chwili zbierania adresów. Uznano także, że zainteresowany powinien mieć możność sprzeciwienia się (w czasie zbierania adresów lub później) przetwarzaniu jego danych zarówno przez pierwotnie zbierającego, jak i przez tych, którym on te adresy przekazał. W opinii wskazano, że w niektórych ustawodawstwach przekazanie adresów (danych osobowych) pomiędzy przedsiębiorcami wymaga zgody zainteresowanej osoby, nawet gdy cel przetwarzania nie ulega zmianie. Taką wykładnię zaproponowaliśmy także na gruncie prawa polskiego, choć - dodajmy - można ją uznać za dyskusyjną. Po czwarte, wskazuje się, że wówczas gdy adresy są zbierane ze źródła powszechnie dostępnego, jakim jest "publiczna przestrzeń internetu", wykorzystywanie ich dla wysyłania poczty elektronicznej jest sprzeczne z ustawodawstwem Wspólnot z trzech niezależnych względów:
działanie takie nie stanowi przetwarzania w sposób uczciwy (fair - art. 6 ust. 1 lit. a) dyrektywy);
wykorzystanie adresu zostaje dokonane w innym celu niż ten, dla którego zainteresowany go upublicznił (por. art. 6 ust. 1 lit. b) dyrektywy);
przetwarzanie realizowane dla spełnienia słusznych interesów administratora nie spełnia wymogu wyważenia interesów, o którym stanowi art. 7 lit. f) dyrektywy.
6.
Waga ochrony danych osobowych w kontekście handlu elektronicznego uwidoczniła się dobitnie w związku z kontrowersją między rządem USA a Komisją Wspólnot Europejskich w sprawie braku dostatecznego poziomu ochrony danych osobowych w USA, będącego przeszkodą - w świetle dyrektywy 95/46/WE - dla transferu danych osobowych z terenu Unii do USA . Przypomnijmy, że z art. 25 tej dyrektywy wynika, iż każdy podmiot spoza Unii, który zamierza uzyskać dane osobowe od osób poddanych wspólnotowemu porządkowi prawnemu, powinien uprzednio zapewnić poziom ochrony dla tego rodzaju danych równoważny z tym, jaki jest przyjęty w dyrektywie. Brak dostatecznej ochrony w tym zakresie w USA może oznaczać faktyczne odmówienie przedsiębiorstwom amerykańskim dostępu do rynku europejskiego poprzez handel elektroniczny. Nadto zakwestionowane mogą zostać transakcje, które są realizowane w krajach Unii, ale poprzez serwery zlokalizowane w USA. Wyrażano nawet obawy, że ograniczenie to może dotyczyć transmisji poczty elektronicznej .
Zauważmy, że (zwłaszcza z punktu widzenia USA, głównego uczestnika i organizatora handlu elektronicznego) dyrektywa stworzyła nową dodatkową barierę dla swobodnego handlu. Podkreśla się przy tym, że tego rodzaju regulacja sprawia, iż - oparte na dyrektywie - ustawy o ochronie danych osobowych uzyskują de facto efekt ekstraterytorialny . W tym kontekście zrozumiały jest wniosek ze strony Wspólnot Europejskich, aby rozpatrzyć w ramach WTO zagadnienie ochrony danych osobowych w handlu elektronicznym . Ze strony krajów pochodzących spoza Unii Europejskiej podnoszony jest bowiem w szczególności ten zarzut, że dyrektywa w istocie prowadzi do dyskryminacji w zakresie handlu towarami i usługami z krajami nienależącymi do Unii. Konieczne jest zatem wypracowanie wyraźnych zasad w tym zakresie na gruncie WTO, gdyż brak efektywnych, obiektywnych i transparentnych zasad co do ochrony danych osobowych - jak się podkreśla - może zasadniczo ograniczyć rozwój handlu elektronicznego. Wskazuje się również, że wypracowanie tego rodzaju zasad zapewni odpowiedni poziom zaufania między państwami-członkami WTO - dostateczny do usunięcia możliwości blokowania lub zakłócania handlu ze względu na niedostateczną ochronę danych osobowych.
W związku z powyższym pojawiła się interesująca opinia, według której tak jak uprzednio idea wolnego handlu doprowadziła do stworzenia WTO, tak obecnie handel elektroniczny będzie impulsem dla międzynarodowych organizacji do harmonizacji m.in. ochrony prywatności . Rozstrzygnięcie omawianego problemu nastąpi w świetle art. XIV układu GATS (General Agreement on Trade in Services), który - z jednej strony - upoważnia kraje członkowskie do przyjęcia środków koniecznych do zabezpieczenia ochrony prywatności jednostek w związku z przetwarzaniem danych osobowych oraz ochroną tajemnicy rachunków i zapisów ich dotyczących, a równocześnie jednak - z drugiej strony - wymaga, by tego rodzaju regulacja nie stanowiła zamaskowanej restrykcji w handlu usługami oraz aby nie była stosowana w sposób dyskryminujący.
Rozwiązaniu opisanego wyżej konfliktu, a równocześnie usunięciu zastrzeżeń co do wprowadzania w Europie rozwiązań o skutkach de facto eksterytorialnych, służyć ma uzgodniony przez amerykański Departament Handlu i Europejską Komisję dokument Safe Harbor Privacy Principles , określany dalej skrótowo jako "Zasady". Zasady skonkretyzowane zostały w kolejnym dokumencie określanym jako Frequently Asked Questions (FAQ), któremu towarzyszy memorandum wyjaśniające stosowanie (wdrażanie) Zasad. Dnia 26 lipca 2000 r. Komisja Europejska wydała decyzję stwierdzającą, iż przestrzeganie Zasad oznacza adekwatną (odpowiednią, co nie znaczy "taką samą") ochronę danych osobowych w rozumieniu dyrektywy, a co za tym idzie, dane takie mogą być swobodnie przekazywane ze wszystkich krajów Unii Europejskiej do tych przedsiębiorstw w USA, które "przystąpią do Zasad" (poprzez złożenie w Departamencie Handlu tzw. Self Certivication Letters, odnawianego co najmniej raz do roku) .
Mówiąc o Safe Harbor Principles trzeba podkreślić, że po pierwsze, odnoszą się one wyłącznie do podmiotów amerykańskich ze względu na import danych osobowych z krajów Unii Europejskiej. Po drugie, Zasady są wykorzystywane jedynie do stwierdzania istnienia adekwatnej ochrony danych osobowych na terenie USA ze względu na wymogi dyrektywy Unii Europejskiej; ustanawiają one w tej mierze swoiste domniemanie co do wspomnianej adekwatności. Po trzecie, podporządkowanie Zasadom przez poszczególne zainteresowane podmioty w USA ma wyłącznie dobrowolny charakter. Po czwarte, związanie Zasadami nie dotyczy manualnych systemów przetwarzania danych osobowych.
Poza zawierającymi szczegółowe wyjaśnienia FAQ, dokument Departamentu Handlu podaje syntetyczny opis podstawowych kryteriów Safe Harbor co do przetwarzania danych. Chodzi, ujmując to hasłowo , o:
notice - informowanie osoby, której danej dotyczą, o celu zbierania i gromadzenia danych, łącznie z wymogiem informowania o wykorzystywaniu danych do celów uprzednio nieprzewidywanych, o kategoriach podmiotów, do których dane będą przekazywane, oraz o przewidzianych możliwościach wyboru przez zainteresowanego opcji co do gromadzenia i przekazywania danych ; powinny zostać podane też adresy, pod które kierować trzeba pytania i zażalenia;
choice - co jest związane z tym, iż kryteria przyjmują jako zasadę model opt out, według którego przy przetwarzaniu danych nie jest konieczne pozytywne zezwolenie, lecz danie możliwości odmówienia zgody na gromadzenie i eksploatowanie danych, jeśli nie odpowiada pierwotnemu celowi lub aprobowanym założeniom co do ich przekazywania osobom trzecim; tylko w odniesieniu do udostępniania osobom trzecim danych wrażliwych stosowany ma być model opt in wymagający pozytywnej deklaracji ;
onward transfer - przestrzeganie warunku, iż dalsze przekazanie danych może nastąpić jedynie do osoby trzeciej stosującej reguły określone w pkt a) i b); przekazywanie zakłada ponadto, że osoba trzecia bądź sama jest adresatem dyrektywy, bądź się Zasadom podporządkowuje, bądź zawarte zostanie z nią pisemne porozumienie z jasnym oznaczeniem przeznaczenia danych; dalsze przekazywanie wstrzymane musi zostać dopiero wtedy, gdy jednostka przekazująca poweźmie wiadomość o naruszeniach, jakich dopuszcza się odbiorca danych;
acces - umożliwienie zainteresowanemu dostępu do własnych danych, łącznie z możliwością ich weryfikacji lub usunięcia danych nieprawdziwych, chyba że koszty dostępu są nieproporcjonalne w relacji do ryzyka naruszenia prywatności zainteresowanego; dostęp może jednak być uzależniony od uiszczenia zwykłych opłat z tym związanych (np. przy komercyjnych bankach danych);
security - stosowanie niezbędnych środków zabezpieczających przed utratą danych, ich nadużywaniem, zmienianiem czy nieuprawnionym dostępem;
data integrity - zapewnienie, by dane osobowe były stosowne do celów, dla których są wykorzystywane, a administrator danych powinien podjąć stosowne kroki w celu zapewnienia rzetelności wykorzystywania danych oraz poprawności, kompletności i aktualności danych;
enforcement - wprowadzenie w życie wskazanych powyżej Zasad; powinny zostać zagwarantowane odpowiednie mechanizmy pozwalające na dochodzenie praw osobie, której dane dotyczą, w sytuacji naruszenia Zasad, mechanizmy weryfikacji przestrzegania Zasad przez podmioty, które zadeklarowały przyjęcie Safe Harbor Principles, a także zobowiązanie do podjęcia odpowiednich środków w sytuacji naruszenia Zasad, powinny być określone odpowiednie sankcje .
Wypada na zakończenie zaznaczyć, iż osiągnięcie opisanego kompromisu między UE i USA ma duże znaczenie praktyczne także w obrocie z innymi krajami trzecimi. Przypomnijmy, że według art. 26 ust. 2 dyrektywy kraje Unii mogą zezwalać na przesyłanie danych do innych krajów, jeśli odpowiedzialny za przetwarzanie da wystarczające gwarancje co do poszanowania sfery prywatności, podstawowych praw i wolności oraz wykonywania związanych z tymi prawami uprawnień. W przypadku tych krajów docelowych, w których nie jest zapewniony odpowiedni poziom ochrony, wspomniane gwarancje mogą być zawarte w porozumieniach umownych wiążących eksportera i importera danych. Komisja wyjaśniła, że oparcie się w takich umowach o ochronie danych na kryteriach materialnych wyrażonych w Safe Harbor Principles jest w pełni wystarczające .
Przejrzystość systemu
7.
Jedną z podstawowych zasad przyjmowanych dla legalności przetwarzania danych osobowych jest przejrzystość takiego systemu, określana terminem "transparentności". Najogólniej ujmując chodzi o to, aby system przetwarzania danych osobowych był zbudowany oraz działał w sposób zrozumiały dla przeciętnej (w znaczeniu: bez specjalistycznego wykształcenia informatycznego) osoby, a także aby umożliwiał jej dostęp do własnych danych i pozwalał w razie konieczności na ich poprawianie.
W tym kontekście szczególne znaczenie posiada uprzednie zawiadomienie przez dostawcę usługi (service provider) zainteresowanej osoby o pośrednim lub bezpośrednim zbieraniu o niej danych ; nie chodzi tu tylko o informacje o samym fakcie, lecz także o celu zbierania, możliwości odmowy (związanej lub niezwiązanej z konieczną rezygnacją z danej postaci korzystania z sieci ) oraz o osobie zbierającej informacje lub dla której są one zbierane. W niektórych systemach prawnych (np. francuskim) pojawia się wymóg wskazania ryzyka, jakie powstanie po stronie osoby w związku z udostępnianiem swych danych osobowych w sieci komputerowej.
Prawo do anonimowości
8.
"Strumień danych" przekazywany przy wszelkiego rodzaju transakcjach w sieciach komputerowych stanowi tylko wtedy zagrożenie dla prywatności, gdy odnosi się do oznaczanej osoby . Zagwarantowanie anonimowości umożliwi zatem partycypowanie w korzyściach, jakie przynosi internet, bez obawy, że każdy "ruch" w sieci będzie odnotowany, a zapisana na ten temat informacja zostanie wykorzystana do celów nieakceptowanych przez jednostkę.
Rekomendacja 3/97 przyjmuje założenie, że pozostawienie jednostce decyzji w sprawie zachowania anonimowości ma zasadnicze znaczenie dla zabezpieczenia jej prywatności w systemie on-line, w stopniu istniejącym aktualnie off-line, aczkolwiek wskazuje też, że nie w każdych okolicznościach rozwiązanie to jest uzasadnione. Niezbędne jest zatem wzięcie pod uwagę, z jednej strony, takich fundamentalnych zasad, jak prawo do prywatności i prawo swobody wyrażania opinii, z drugiej zaś strony uwzględnienie interesów publicznych, dotyczących zwłaszcza zwalczania przestępczości. W tym kontekście restrykcje prawne dotyczące anonimowości lub technicznych środków w tym zakresie powinny mieć charakter proporcjonalny oraz być ograniczone do zakresu pozwalającego respektować interesy powszechnie chronione w społeczeństwie demokratycznym. W omawianym dokumencie wskazano, że należy zainteresowanym umożliwić zachowanie anonimowości przy: przesyłaniu e-mailów, pasywnym przeglądaniu zawartości sieci oraz nabywaniu większości towarów i usług w internecie. Podkreślono poza tym, że jest wprawdzie niezbędna pewna kontrola w odniesieniu do dostawców zawartości (content providers) w internecie (np. w odniesieniu do tzw. news-group), ale w wielu przypadkach wymóg identyfikowania się każdej zainteresowanej osoby uznać trzeba by za zbyt daleko idący i niepraktyczny.
Realizacji postulatu minimalizacji ujawnianych i zbieranych danych osobowych w transakcjach w sieciach komputerowych służy m.in. anonimowy system płatności, związany ze stosowaniem swoistych "elektronicznych portmonetek", a także podpis cyfrowy, który - zaznaczmy - wbrew swej nazwie może być wykorzystywany także do wskazania takich atrybutów kontrahenta, ważnych w konkretnej sytuacji przy zawarciu umowy, jak wiek, miejsce zamieszkania (kraj), obywatelstwo, wpis do rejestru uprawniającego do nabywania określonych usług, członkostwo w określonym klubie .
Problemy kryptografii
9.
Jednym z bardziej kontrowersyjnych problemów związanych z posługiwaniem się sieciami komputerowymi, a zwłaszcza internetem, jest dopuszczalność stosowania metod kryptograficznych, w tym przekształcania komunikatów powszechnie zrozumiałych w komunikaty szyfrowane (kodowane), czytelne tylko dla odbiorcy dysponującego odpowiednim kluczem (kluczem deszyfrującym).
Rozliczne i zrozumiałe są uzasadnienia stosowania kryptografii w sieciach komputerowych. Chodzi o zapewnienie przede wszystkim prawa do prywatności, prawa do tajemnicy korespondencji (między innymi w zakresie posługiwania się pocztą elektroniczną, e-mail). Trudno odmówić zasadności wykorzystania kryptografii w tych wszystkich przypadkach, gdy przy przekazywaniu danych pojawia się potrzeba dochowania tajemnicy finansowej lub handlowej. Nie chodzi zresztą o samą tylko kwestię poufności. Kryptografia ma ustrzec też przed praktykami określanymi jako spoofing, polegającymi na przechwytywaniu wiadomości przepływającej przez internet, zmienianiu jej treści i "puszczaniu" w dalszą drogę do adresata. Innym niebezpiecznym procederem jest anulowanie poczty, wymazywanie korespondencji kierowanej do grup dyskusyjnych. Metody kryptograficzne pozwalają też na identyfikację nadawcy i odbiorcy przekazywanych danych, jak również zapobiegają zaprzeczeniu nadania lub odbioru. Zagadnienie kryptografii ma także duże znaczenie dla ochrony interesów konsumenta ze względu na konieczność zapewnienia poufności w handlu elektronicznym .
Należy dodać, iż obywatelskie akcje na rzecz swobody kodowania treści przekazywanych internetem zyskały sprzymierzeńca w przemyśle komputerowym, zainteresowanym zyskami ze sprzedaży programów kodujących. Bez obawy popełnienia większego błędu można stwierdzić, że niedopuszczenie do kodowania materiałów rozpowszechnianych w internecie spowodowałoby, iż jego wykorzystanie uległoby istotnemu ograniczeniu, a nadto sieć ta stałaby się jeszcze bardziej dogodnym środkiem naruszania prawa i zasługujących na poszanowanie wartości. Niepewność co do nienaruszalności i poufności przekazywanych numerów kont bankowych, numerów identyfikacyjnych, elektronicznych pieniędzy może odebrać internetowi całą jego komercyjną wartość. Pojawia się też opinia, iż debata nad kryptografią to debata o "być albo nie być" internetu .
Mając to wszystko na względzie formułowane są często stanowcze postulaty domagające się wolności kodowania komunikatów w internecie. Znalazły one swój wyraz między innymi w opracowanych w ramach OECD "Guidelines for Cryptography Policy" , a także w dokumencie Unii Europejskiej - "Towards a European Framework for Digital Signatures and Encryption" . Znajdujemy tam rozbudowaną argumentację zarówno przeciwko konieczności uzyskiwania zezwolenia na kodowanie informacji, jak i przeciwko ustanowieniu powszechnego obowiązkowego dostępu organizacji rządowych do klucza szyfrującego. Sugeruje się raczej wprowadzenie ustawowego dostępu do klucza szyfrującego jedynie dla tych sytuacji, w których jest to absolutnie konieczne, na przykład ze względu na bezpieczeństwo państwa. Dodajmy tu, że przeciwnicy swobodnego "podsłuchiwania" korespondencji elektronicznej, nawet jeśli zgadzają się na pewne ograniczenia jej tajemnicy, to jednak chcą, aby zapewnione zostało swobodne dokonywanie wyboru metody kodowania i niezakłócone jej stosowanie oraz utrzymywanie w tajemnicy klucza, tj. faktu zastosowania kodu, użytej metody oraz sposobu dekodowania. Uważają oni, nie bez racji, iż ograniczenie prawa do tajemnicy powinno mieć swą podstawę jedynie w konkretnym postanowieniu sędziego, wydawanym według kryteriów podobnych do tych, jakie stosuje się przy decyzjach o przeszukaniu mieszkania.
Generalnie ujmując, przeważa podejście dopuszczające, choć nie w pełni dowolne i nie we wszystkich przypadkach, stosowanie metod kryptograficznych. Wiele krajów jest obecnie na etapie wypracowania bądź ogólnych zasad , bądź już konkretnych rozstrzygnięć prawnych w tym zakresie. Równocześnie jednak podnoszone są z równym zaangażowaniem argumenty na rzecz zakazu kodowania przesyłanych informacji lub zakazu stosowania tzw. mocnego kodowania; proponowane jest także uzależnienie kodowania od uzyskania odpowiedniego zezwolenia. Ten punkt widzenia, za którym opowiadają się aktywnie policje i tajne służby państwowe (w USA zwłaszcza: Federalne Biuro Śledcze, Departament Sprawiedliwości i Agencja Bezpieczeństwa Narodowego), wspierany jest przykładami, które niosą ze sobą poważne zagrożenia dla bezpieczeństwa i porządku publicznego. Dotyczą one prowadzenia w sieciach agitacji przez skrajne organizacje polityczne, działalności terrorystycznej, prowadzenia nielegalnych transakcji finansowych, rozpowszechniania pornografii itd. Ograniczenia w zakresie kodowania dyktowane są walką z organizacjami i grupami przestępczymi, które w przeciwnym razie mogłyby uzyskać efektywną, wolną od podsłuchu i niepoddającą się kontroli ze strony państwa międzynarodową sieć porozumiewania się.
Możliwość narażenia bezpieczeństwa narodowego stała się głównym motywem wprowadzenia, również w USA, pewnych środków zaradczych. Proponowane są tam dwa typy ograniczeń. Po pierwsze, chodzi o zakaz eksportu programów szyfrujących, w których do kodowania wykorzystuje się klucz dłuższy niż 40 bitów (tymczasem, gdy stosowane jest tzw. mocne szyfrowanie, w praktyce niemożliwe do odkodowania, wykorzystywany jest klucz 128-bitowy). Po drugie, chodzi o ustawowy nakaz ujawnienia odpowiednim organom państwowym w określonych sytuacjach klucza szyfrującego (key escrow) lub równoważnych informacji (key recovery). Wolno byłoby kodować wiadomości tylko wówczas, jeśli w odpowiednim urzędzie rządowym zostałby zdeponowany "klucz dekodujący"; w efekcie służby ochrony państwa miałyby zatem w istocie możliwość rozszyfrowania każdego komunikatu. Krytycy tego rozwiązania porównują go do zobowiązania stosowania w drzwiach do mieszkań tylko określonej serii numerowanych zamków, przy produkcji których zawsze automatycznie drugi klucz dostarczany jest odpowiedniej władzy. W odpowiedzi na skargi, iż wskutek tych przedsięwzięć amerykański przemysł komputerowy ponosi na rynkach międzynarodowych, w stosunku do krajów niewprowadzających wspomnianych ograniczeń eksportowych, istotne straty, przedstawiona została tzw. Clipper-Chip-inicjatywa. Pozwalała ona na instalowanie w urządzeniach procesorów kodujących, równocześnie jednak stwarzając władzom państwowym szerokie możliwości podsłuchu i deszyfrowania transmisji .
W USA promowane było ostatnio szczególnie drugie spośród wymienionych wyżej rozwiązań - związane z wprowadzeniem i rozpowszechnieniem tzw. key recovery; w istocie umożliwia ono niekontrolowany i niepozostawiający śladów dostęp do przekazywanej informacji. Jak pisze G. Browning, w ramach tego pomysłu programiści mieliby być zobowiązani, aby identyfikatory zapisu programu kodowania przekazywać osobom upoważnionym przez rząd federalny do ich przechowywania. W przypadku gdyby któraś z agencji ochrony prawa potrzebowała identyfikatora do odkodowania danych, musiałaby uzyskać odpowiedni nakaz sądowy, zmuszający do jego wydania . Nawiązanie do takiego ograniczenia, w części (przewrotnie) uzasadnianego niebezpieczeństwem i kłopotami po stronie korzystających z sieci w przypadku zagubienia klucza, znajdujemy w rządowym raporcie "A Framework for Global Electronic Commerce" . W tym kontekście interesujące jest orzeczenie Sądu Federalnego z San Francisco z dnia 26 sierpnia 1997 r., w którym uznano, że ograniczenia eksportowe dotyczące techniki kryptograficznej, narzucone przez Departament Handlu, są sprzeczne z Konstytucją, gdyż naruszają pierwszą do niej poprawkę (statuującą zasadę wolności słowa). Podnosi się także, że tego typu ograniczenia są sprzeczne z wolnością prasy i swobodą wypowiedzi akademickiej .
W projekcie angielskiego Electronic Communications Bill z dnia 23 czerwca 1999 r. zawarte są rozbudowane postanowienia dotyczące legalności kodowania materiałów rozpowszechnianych w internecie, towarzyszy im jednak zobowiązanie do ujawnienia klucza szyfrującego w oznaczonych sytuacjach, związanych z uprawnieniem osoby żądającej klucza m.in. do dokonania przeszukania, zajęcia lub podsłuchu.
Kodeksy etyczne
10.
Ze względu na opóźnienia w tworzeniu ustaw dotyczących danych osobowych oraz dla ich adaptacji dla środowiska sieci komputerowych, tworzone są w wielu krajach, niekiedy dla określonych gałęzi przemysłu, tzw. samoregulacje, tj. swoiste kodeksy etyczne skierowane na ochronę prywatności. Definiowane są one jako zasady postępowania opracowane i egzekwowane przez podmioty, które są równocześnie adresatem norm w nich zawartych . Nie znaczy to jednak, by zawsze organy publiczne były pozbawione jakiejkolwiek roli związanej z funkcjonowaniem kodeksów etycznych, niekiedy podlegają one nawet oficjalnemu zatwierdzaniu i uzyskują wówczas moc prawną (tak np. w Irlandii i Nowej Zelandii). Najczęściej jednak rola organów publicznych ogranicza się do promowania tworzenia kodeksów etycznych dla tej sfery działalność i ewentualnej współpracy przy ustalaniu ich treści.
Z reguły omawiane kodeksy zawierają wymóg: uczciwego zbierania danych osobowych (wiążące się zwłaszcza z uprzednim informowaniem jednostki o zbieraniu informacji jej dotyczących), ograniczania zakresu ich wykorzystywania, zgodności danych z rzeczywistością; opowiadają się też za możliwością zakwestionowania przez jednostkę przekazania swoich danych w ramach transakcji sprzedaży bazy danych. Odrębna część tych kodeksów dotyczy wymogu wyraźnego ich prezentowania konsumentom. Chodzi tu m.in. o wskazanie, jakie informacje są zbierane, przedstawienie katalogu opcji, jakie ma konsument (użytkownik) w odniesieniu do zbierania i wykorzystywania danych jego dotyczących, materiały dotyczące bezpieczeństwa danych. Kodeksy takie zawierają również z reguły odpowiedni system rozpatrywania skarg konsumentów. Przykładem jest tu DMA’s "Personal Information Protection Guidelines" , ISA’s "Online Operators’ Data Collection Principles" , OPA’s "Guidelines for Online Privacy Polices" .
Swoistym uzupełnieniem powyższych kodeksów etycznych jest inicjatywa World Wide Web Consortium (W3W), organizacji zrzeszającej 250 organizacji, która z końcem 1998 r. zgłosiła projekt Platform for Privacy Preferences Project (P3P). Istota tego rozwiązania polega na uprzednim uwidocznieniu użytkownikowi, w sposób przejrzysty i dla niego zrozumiały, praktyk w zakresie zabezpieczenia prywatności danej jednostki działającej w ramach stron www. Chodzi tu zwłaszcza o uwidocznienie takich kwestii, jak: rodzaj zbieranych danych, możliwość ich wtórnego wykorzystywania, zasady udostępniania osobom trzecim. Na podstawie takiej informacji użytkownik może w trybie automatycznym - według uprzednio zdefiniowanych preferencji - przyjąć lub odrzucić "podłączenie się" w trakcie serfowania po sieci do określonego miejsca w internecie udostępniającego zasoby lub usługę (site) .
Należy tu wspomnieć także o zaleceniach dla ochrony jednostek w związku ze zbieraniem i przetwarzaniem danych osobowych w sieciach komputerowych z 1999 r., opracowanych w ramach Rady Europy . Zawierają one podstawowe reguły, których powinni przestrzegać dostawcy zawartości i dostawcy usług w sieciach komputerowych oraz uwidoczniają niebezpieczeństwa, jakie dla ochrony prawa do prywatności stwarza internet, a także sposoby ich ograniczania. Zalecenia zostały podzielone na dwie podstawowe części (odnoszącą się do użytkowników i dostawców usług) i z założenia są przeznaczone do zastosowania przy tworzeniu kodeksów etycznych adresowanych do podmiotów korzystających z sieci.
Dochodzenie naruszeń ochrony danych osobowych
11.
Zastanawiając się nad zasadami ochrony naruszeń prawa do danych osobowych należy w pierwszym rzędzie wskazać na możliwości dostępne przed dokonaniem czynu bezprawnego. Chodzi tu przede wszystkim o coraz bardziej powszechny standard polegający na wydaniu zapewnienia, że określone postępowanie jest zgodne z przyjętymi zasadami (w tym także z kodeksami etycznymi). Takie swoiste działania audytingowe są współcześnie realizowane m.in. przez niezależne organizacje typu non profit , stowarzyszenia gwarantujące istnienie odpowiednich standardów . Niekiedy warunkiem członkostwa określonego stowarzyszenia branżowego jest spełnienie wymogów w sprawie zapewnienia należytej ochrony prywatności w sieci komputerowej .
Wobec naruszenia prawa do danych osobowych, ochrona może być zrealizowana już na poziomie relacji pomiędzy uprawnionym a naruszającym. Skuteczne mogą być także środki przewidziane w statutach organizacji i stowarzyszeń działających w tej sferze. Chodzi tu o możliwość zastosowania następujących środków prawnych: publikacja nazwy naruszającego na specjalnej powszechnie dostępnej liście, odebranie certyfikatu potwierdzającego przestrzeganie ustalonych zasad ochrony prywatności, wykluczenie z danej organizacji . W przypadku istnienia umowy pomiędzy naruszającym a daną organizacją istnieje także możliwość dochodzenia odpowiednich roszczeń na podstawie takiej umowy. Zasadnicze znaczenie dla ochrony danych osobowych posiada oczywiście ochrona administracyjna, a także - choć w istocie w węższym zakresie - cywilna i karna.
Ciekawą podstawę ochrony, specyficzną dla przetwarzania danych osobowych w sieciach komputerowych, stanowi odpowiedzialność kontraktowa. Można się bowiem dopatrywać istnienia pomiędzy użytkownikiem końcowym a "właścicielem" strony www umowy, zawartej w trybie on-line, także w odniesieniu do zasad przetwarzania danych. Dotyczy to sytuacji, gdy właściciel strony www zamieszcza na niej własne reguły przetwarzania danych, a użytkownik bądź wyraża zgodę na ich stosowanie (za pomocą akceptującego "znaku") do danej umowy, bądź godzi się na ich wykorzystanie zawierając inną umowę z tym samym podmiotem. W tym ostatnim przypadku można twierdzić, że zasady przetwarzania danych przez "właściciela" stanowią accidentalia negotii umowy .
Zagadnienia jurysdykcji
12.
Ponadkrajowy charakter sieci komputerowych przesądza o szczególnym znaczeniu problematyki jurysdykcyjnej dla stosowania ustaw o ochronie danych osobowych ze względu na przetwarzanie danych w tym środowisku. Generalnie ujmując o stosowaniu ustawy danego kraju decyduje miejsce przechowywania danych osobowych; w niektórych ustawach krajowych przyjmuje się także właściwość miejsca, w którym zlokalizowane są serwery, które "zbierają" dane, obsługujące daną stronę www .
Poszanowanie praw autorskich a ochrona danych osobowych
13.
Na zasygnalizowanie w tym opracowaniu zasługuje - naszym zdaniem - także swoisty styk ochrony danych osobowych z wykonywaniem praw autorskich. Otóż rozwój techniki cyfrowej stwarza wcześniej nieznane możliwości ochrony praw autorskich, jeżeli chodzi o eksploatowanie chronionych utworów w sieciach komputerowych. Najogólniej rzecz ujmując w rachubę wchodzą tu, z jednej strony, środki techniczne (w tym programy komputerowe) przeznaczone do zabezpieczenia przed nieuprawnionym dostępem do utworu lub kopiowaniem go, z drugiej zaś strony - swoiste cyfrowe "nalepki identyfikujące" na utworach pozwalające na elektroniczne zarządzanie prawami autorskimi wtedy, gdy utwór jest rozpowszechniany w sieci .
Należy jednak zaznaczyć, że używanie tego rodzaju środków, a zwłaszcza systemu elektronicznego zarządzania prawami autorskimi, nie jest bez znaczenia dla kwestii ochrony danych osobowych. Chodzi bowiem o to, że system taki, określany często jako ECMS (electronic copyright management system), oparty jest na powiązaniu z każdym dziełem jednostkowego oznaczenia (zbliżonego charakterem do stosowanego na rynku księgarskim ISBN) . W odpowiednim banku danych mają być gromadzone tego rodzaju informacje oraz, co szczególnie interesujące dla omawianej tematyki, informacje dotyczące osób korzystających z dzieła, w tym uzyskujących licencję na określoną formę ich eksploatacji oraz tylko "przeglądających" dzieło (browsing) w celu podjęcia decyzji w tej sprawie. Można zasadnie bronić zdania, iż tego rodzaju bank danych powinien oczywiście być poddany ogólnym regułom przewidzianym dla ochrony danych osobowych i posługiwania się ich zbiorami.
Pojawiający się konflikt pomiędzy ochroną prawa do prywatności a skuteczną ochroną i efektywnym sprawowaniem zarządu prawami autorskimi w środowisku sieci informatycznych dotyczy także możliwości monitorowania ewentualnego naruszania praw autorskich przez użytkowników sieci (bądź w celu obciążenia go opłatami licencyjnymi, bądź w celu wszczęcia procesu o naruszenie praw autorskich) oraz blokowania dostępu do utworów znajdujących się dotychczas w sferze użytku prywatnego .
Wydaje się, że ograniczenia w stosowaniu omawianych systemów elektronicznego zarządzania prawami autorskimi i metod ochrony tych praw powinny mieć swą jedyną podstawę w imperatywnych, generalnych normach ustaw i konwencji międzynarodowych dotyczących ochrony danych osobowych. Oznacza to respektowanie takich m.in. standardów, jak: obowiązek uprzedniego poinformowania użytkownika sieci o zbieraniu danych osobowych jego dotyczących, dopuszczenie w szerokim zakresie możliwości zachowania anonimowości lub działania pod pseudonimem przez osoby korzystające z utworów w sieci, ograniczenie zakresu wykorzystywania danych osobowych zgodnie z ogólnie przyjętymi regułami, zapewnienie zainteresowanemu możliwości dostępu do danych jego dotyczących, łącznie z możliwością ich poprawienia .
Dodajmy w tym miejscu, że US Digital Millenium Copyright Act z dnia 28 października 1998 r. jest chyba pierwszą na świecie ustawą z zakresu prawa autorskiego, która wprowadzając ochronę przed usuwaniem technicznych zabezpieczeń dzieła, z czym związana jest możliwość kontroli dostępu do niego, zwraca uwagę także na ochronę danych osobowych. Otóż sec. 1201 (1) tej ustawy przewiduje dopuszczalność usuwania tego rodzaju zabezpieczeń dla stwierdzenia przez zainteresowany podmiot, czy istnieją środki techniczne, takie jak cookies, które mogą zbierać lub ujawniać informacje o "działaniach w sieci" określonej osoby. Postępowanie takie jest dopuszczalne, o ile spełnione są dwa warunki: po pierwsze, osoba ta nie została uprzednio poinformowana w sposób odpowiedni o zbieraniu tego rodzaju informacji i możliwości niewyrażenia zgody na takie działanie; po drugie, usunięcie tych środków nie może spowodować utrudnień dla innych osób w dostępie do danego dzieła.
Postulaty w sprawie ochrony danych osobowych w sieciach komputerowych
14.
W odniesieniu do ochrony danych osobowych w sieciach komputerowych, czy szerzej - teleinformatycznych, formułowane są w literaturze najczęściej następujące postulaty:
Urządzenia internetowe, łącznie z programami, powinny (automatycznie) uprzednio (a zatem przed "przejęciem" danych) informować każdego użytkownika o wszystkich danych zbieranych o nim w trakcie korzystania z sieci, o sposobie oraz celu ich wykorzystywania, a także umożliwiać mu dostęp do nich w późniejszym czasie .
Informacje w sprawie zbierania danych, o których mowa w pkt 1, powinny być zawsze połączone z przyznaniem użytkownikowi prawa decydowania o zakresie zbierania i wykorzystywania danych.
Tylko w tym zakresie, w jakim z punktu widzenia funkcjonowania sieci lub danej usługi konieczne jest przetwarzanie określonych danych osobowych, odmowa zgody na ich pozyskiwanie ze strony użytkownika może być podstawą pozbawienia możliwości korzystania z sieci (usługi) w odpowiednim zakresie .
Należy dążyć do takiego opracowania urządzeń internetowych i standardów, by umożliwiały automatyczne (po uprzednim jednorazowym określeniu preferencji użytkownika) dokonywanie wyborów w kwestii zbierania o nim danych.
Dostawca usług w sieci powinien informować użytkownika końcowego o: a) zagrożeniach dla ochrony prywatności związanych z korzystaniem z sieci, b) technicznych środkach ograniczających niebezpieczeństwa związane z przechwytywaniem lub modyfikowaniem materiałów przesyłanych w sieci (np. kodowanie, podpis elektroniczny), c) możliwości korzystania z internetu anonimowo lub z wykorzystaniem pseudonimu .
W przypadku gdy w związku z korzystaniem z danej strony www następuje jakiekolwiek przetwarzanie danych osobowych, strona taka winna być tak zaprojektowana, aby w sposób wyraźny zawarte w niej było, łatwo dostępne, odesłanie do przyjętych zasad co do przetwarzania takich danych, łącznie z warunkami dostępu każdej jednostki do własnych danych osobowych i warunkami anonimowego korzystania .
Urzędy, zajmujące się wydawaniem elektronicznych certyfikatów stosowanych dla potwierdzenia tożsamości użytkowników, a zwłaszcza tzw. podpisu cyfrowego, powinny być ustawowo zobowiązane do uzyskiwania danych osobowych jedynie bezpośrednio od osób, których one dotyczą i tylko w zakresie koniecznym dla wydania i utrzymywania certyfikatu. Wykorzystywanie danych w szerszym zakresie może być dokonywanie jedynie na podstawie wyraźnej zgody zainteresowanego. Nadto urzędy certyfikacyjne powinny być uprawnione do wydawania certyfikatów "na pseudonim" zamiast na nazwisko podpisującego .
Warto w tym miejscu przywołać Recommendation 2/2001 on certain minimum requirements for collecting personal data on-line in the European Union z dnia 17 maja 2001 r., w której podano konkretne wymogi stosowania obowiązującej dyrektywy w internecie. Zasady wyrażone w tej rekomendacji odnoszą się do:
określenia minimum koniecznych informacji, które musi dostarczyć osoba zbierająca dane osobowe z wykorzystaniem sieci komputerowej,
sposobu przekazania tych informacji zainteresowanemu podmiotowi,
realizacji w sieci innych zobowiązań określonych w dyrektywie oraz
zasad zbierania adresów internetowych w celu marketingu bezpośredniego oraz rozpowszechniania biuletynów informacyjnych do użytkowników sieci.
Polska ustawa o świadczeniu usług drogą elektroniczną
15.Uwagi ogólne
Dnia 18 lipca 2002 r. uchwalona została ustawa o świadczeniu usług drogą elektroniczną , która ma niewątpliwie istotne znaczenie dla problematyki ochrony danych osobowych w sieciach teleinformatycznych. Nie wdając się w dogłębną analizę całej ustawy , poniżej przedstawimy ogólną jej charakterystykę, natomiast nieco bardziej szczegółowo omówimy jedynie zawarte w niej przepisy odnoszące się do przetwarzania i ochrony danych osobowych.
Ustawa o świadczeniu usług drogą elektroniczną implementuje na grunt polskiego systemu prawnego przepisy dyrektywy 2000/31/WE o niektórych prawnych aspektach usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego we Wspólnym Rynku (tzw. dyrektywa o handlu elektronicznym) , wkracza także w obszar regulacji dyrektywy 2002/58/WE w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (tzw. dyrektywa o ochronie prywatności i komunikacji elektronicznej) . W zakresie problematyki ochrony danych osobowych omawiana ustawa wzorowana była na niemieckiej ustawie o ochronie danych przy teleusługach TDDSG.
Ustawa tworzy zasadnicze ramy prawne dla elektronicznego obrotu handlowego (z wykorzystaniem internetu lub innych nowych usług informacyjnych i komunikacyjnych) . Jednakże nie obejmuje ona przepisów odnoszących się do problematyki zawierania umów drogą elektroniczną. Odpowiednie przepisy w tym zakresie dodane zostały do kodeksu cywilnego w wyniku nowelizacji dokonanej 14 lutego 2003 r.
Podstawowym pojęciem, jakim posługuje się ustawa, jest świadczenie usług drogą elektroniczną, które nawiązuje w swojej istocie do występującego w dyrektywie o handlu elektronicznym pojęcia "usługa społeczeństwa informacyjnego" . Świadczeniem usług drogą elektroniczną, w myśl przepisu art. 2 pkt 4 u.s.u.d.e. jest wykonanie usługi, które następuje przez wysyłanie i odbieranie danych za pomocą systemów teleinformatycznych, na indywidualne żądanie usługobiorcy, bez jednoczesnej obecności stron, przy czym dane te są transmitowane za pośrednictwem sieci publicznych w rozumieniu ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne. Wydaje nam się, iż definicja ta zbyt wąsko ujmuje kwestię wykonywania usług, sprowadzając ją jedynie do "wysyłania i odbierania danych", co w rezultacie prowadzić może do nieuzasadnionego ograniczenia zakresu stosowania przepisów ustawy . W preambule do dyrektywy 2000/31/WE wyjaśniono, że chodzi tu o szeroki zakres działań gospodarczych, które mają miejsce on-line (tj. w trybie bezpośredniego dostępu do sieci); w szczególności działania te mogą polegać na sprzedaży towarów on-line, obejmują także usługi, które nie są wynagradzane przez podmioty, które je otrzymują, na przykład usługi oferujące informację (dość często za usługi te płaci podmiot trzeci, np. zlecający reklamę), usługi dostarczania narzędzi pozwalających wyszukiwać, uzyskiwać dostęp i pobierać dane, usługi polegające na transmisji informacji przez sieci, zapewnianiu dostępu do sieci lub przechowywaniu informacji dostarczanych przez otrzymujących usługi. Poza zakresem regulacji pozostaje m.in. działalność polegająca na dostarczaniu towarów (nawet jeżeli stanowi realizację umowy zawartej on-line), świadczeniu usług off-line, stosunki umowne między pracownikiem a pracodawcą oraz działania, które ze swej natury nie mogą być dokonane na odległość i za pomocą środków elektronicznych (np. statutowe kontrole rachunkowości przedsiębiorstwa, poradnictwo medyczne wymagające fizycznego badania pacjenta itp.) .
Ustawy, zgodnie z art. 3 u.s.u.d.e., nie stosuje się do: rozpowszechniania i rozprowadzania programów radiowych i telewizyjnych oraz związanych z nimi przekazów tekstowych; używania poczty elektronicznej lub innego równorzędnego środka komunikacji elektronicznej między osobami fizycznymi, w celach osobistych niezwiązanych z prowadzoną przez te osoby, chociażby ubocznie, działalnością zarobkową lub wykonywanym przez nie zawodem; świadczenia przez operatora usług telekomunikacyjnych polegających na przekazywaniu danych lub sygnałów między zakończeniami sieci telekomunikacyjnej (dotyczy to jedynie tzw. prostego przekazu, o którym mowa w art. 12 u.s.u.d.e.); przeprowadzania rozliczeń i rozrachunków międzybankowych za pomocą elektronicznych nośników informacji; wydawania i wykorzystywania kart płatniczych oraz pieniądza elektronicznego w rozumieniu ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe, a także świadczenia usług drogą elektroniczną, jeżeli odbywa się ono w ramach struktury organizacyjnej usługodawcy, przy czym usługa świadczona drogą elektroniczną służy wyłącznie do kierowania pracą lub procesami gospodarczymi tego podmiotu.
Wyłączenie stosowania przepisów omawianej ustawy w odniesieniu do operatorów telekomunikacyjnych poddane zostało krytyce w literaturze przedmiotu z uwagi na to, że pozostawiało poza zakresem regulacji istotną część problematyki będącej przedmiotem dyrektywy 2002/58/WE. Sytuacja ta uległa zmianie wskutek uchwalenia ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne zawierającej szczegółowe przepisy odnoszące się do ochrony danych osobowych, implementujące wspomnianą dyrektywę.
W ustawie zdefiniowano kilka podstawowych pojęć. Wśród nich znalazły się m.in. definicje kategorii podmiotów, do których odnosi się omawiana regulacja prawna. I tak usługodawcą w rozumieniu ustawy jest osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową świadczy usługi drogą elektroniczną. Usługodawcą może być zarówno podmiot, który decyduje o treści udostępnianych usług (content provider), jak i podmiot, który jedynie pośredniczy w dostępie do treści takich usług (intermediary service provider). Ustawa nie wymaga od usługodawcy uzyskania zezwolenia ani koncesji na prowadzenie działalności w omawianym zakresie, co nie narusza jednak obowiązków wynikających z innych przepisów . Natomiast za usługobiorcę ustawa uznaje osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która korzysta z usługi świadczonej drogą elektroniczną.
16.Obowiązki usługodawców
Ustawa nakłada na podmioty świadczące usługi drogą elektroniczną wiele obowiązków. Znaczna część z nich to obowiązki o charakterze informacyjnym. Powodem wprowadzenia tych obowiązków była potrzeba zapewnienia transparentności świadczenia usług będących przedmiotem omawianej regulacji prawnej. Wynika ona stąd, iż w środowisku globalnej sieci komputerowej, w okolicznościach działania wielu podmiotów w sposób anonimowy, szczególnego znaczenia nabiera możliwość zidentyfikowania usługodawcy i dokonania jego oceny, co może pozwolić zminimalizować ryzyko związane z korzystaniem z usług. Zgodnie z przepisami ustawy usługodawca powinien podać informacje podstawowe, które pozwolą na jego identyfikację (adresy elektroniczne, imię, nazwisko, miejsce zamieszkania i adres albo nazwę lub firmę oraz siedzibę i adres). Informacje te powinny być podane w sposób wyraźny, jednoznaczny i bezpośrednio dostępny poprzez system teleinformatyczny, którym posługuje się usługobiorca (np. na stronie www). Jeżeli usługodawcą jest przedsiębiorca, ma on także obowiązek podać informacje dotyczące właściwego zezwolenia i organu zezwalającego, jeżeli takie zezwolenie jest wymagane na podstawie odrębnych przepisów, natomiast gdy usługodawcą jest osoba fizyczna, której prawo do wykonywania zawodu jest uzależnione od spełnienia określonych w odrębnych ustawach wymagań, powinna ona podać również informacje dodatkowe dotyczące: pełnomocnika (jeśli został ustanowiony); samorządu zawodowego, do którego osoba ta należy; tytułu zawodowego; numeru w odpowiednim rejestrze publicznym oraz właściwych zasad etyki zawodowej i sposobu uzyskania do nich dostępu (art. 5 u.s.u.d.e.). Ponadto ustawa nakłada na usługodawców obowiązek zapewnienia usługobiorcy dostępu do aktualnych informacji natury technicznej (art. 6 u.s.u.d.e.), a mianowicie: informacji o szczególnych zagrożeniach, jakie wiążą się z korzystaniem z usługi świadczonej drogą elektroniczną (np. o wirusach, o niebezpieczeństwie zapoznania się z treścią informacji przesyłanych bez korzystania z odpowiednich zabezpieczeń itp.), oraz informacji o funkcji i celu oprogramowania lub danych niebędących składnikiem treści usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego, którym posługuje się usługobiorca (np. o programach generujących tzw. pliki cookies). Wskazane powyżej obowiązki informacyjne mają zapewnić usługobiorcy nie tylko odpowiednią wiedzę dotyczącą usługodawcy (co może pomóc w ocenie jego wiarygodności i w ewentualnym dochodzeniu roszczeń), ale także świadomość zagrożeń (co powinno skłonić użytkownika do ostrożności i rozwagi przy korzystaniu z usług świadczonych drogą elektroniczną).
Kolejnym obowiązkiem, jaki na usługodawców nakłada ustawa o świadczeniu usług drogą elektroniczną w art. 7, jest wymóg zapewnienia odpowiedniego działania systemu teleinformatycznego. Dotyczy to w szczególności nieodpłatnego umożliwienia usługobiorcy korzystania z usług w taki sposób, aby do treści przekazu będącego przedmiotem usługi nie miały dostępu osoby nieuprawnione, a także zapewnienia jednoznacznej identyfikacji stron oraz potwierdzenia faktu złożenia oświadczeń woli i ich treści. W przypadku gdy właściwości usługi tego wymagają, na usługodawcy ciąży więc obowiązek zabezpieczenia treści przekazywanych informacji przy wykorzystaniu technik kryptograficznych (przesyłania danych w postaci zaszyfrowanej) oraz zastosowania odpowiednich metod weryfikacji tożsamości usługobiorcy. Omawiana regulacja prawna odsyła w tym zakresie do ustawy z dnia 18 września 2001 r. o podpisie elektronicznym, która określa m.in. kwestie związane z używaniem tzw. bezpiecznego podpisu elektronicznego. Oprócz tego usługodawca powinien zapewnić usługobiorcy możliwość zakończenia korzystania z usługi w każdej chwili, gdy tylko użytkownik uzna to za stosowne.
Usługodawca ma również obowiązek opracowania regulaminu świadczenia usług drogą elektroniczną, w którym powinny zostać określone co najmniej: rodzaje i zakres usług, szczegółowe warunki świadczenia usług (dotyczące m.in. wymagań technicznych niezbędnych do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca, oraz zakazu dostarczania przez usługobiorcę treści o charakterze bezprawnym), warunki zawierania i rozwiązywania umów, a także tryb postępowania reklamacyjnego. Treść regulaminu powinna być nieodpłatnie udostępniona usługobiorcy przed zawarciem umowy, jak również na każde żądanie usługobiorcy, w sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca. W praktyce oznacza to, że usługobiorca korzystający z usług świadczonych drogą elektroniczną, na przykład za pośrednictwem przeglądarki internetowej, powinien mieć możliwość skopiowania regulaminu na dysk swojego komputera oraz możliwość wydrukowania tekstu regulaminu. Jest to niezwykle istotne z uwagi na fakt, iż zgodnie z przepisem art. 8 u.s.u.d.e. usługodawca ma obowiązek świadczyć usługi zgodnie z regulaminem, a usługobiorca nie jest związany tymi postanowieniami regulaminu, które nie zostały mu udostępnione we wskazany w ustawie sposób.
17.Przesyłanie informacji handlowych
W omawianej ustawie uregulowano także kwestie związane z przesyłaniem informacji handlowych za pomocą środków komunikacji elektronicznej. Artykuł 2 pkt 2 u.s.u.d.e. zawiera definicję informacji handlowej, która obejmuje swoim zakresem informacje przeznaczone bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód regulowany, z pewnymi jednak wyjątkami . Ustawa nakłada obowiązek wyraźnego wyodrębnienia takich informacji i oznaczenia ich w sposób niebudzący wątpliwości, że są to informacje handlowe. Informacja handlowa powinna zawierać m.in. oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne, wyraźny opis form działalności promocyjnej, a także wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia . Poważnym problemem, z którym borykają się użytkownicy sieci internet, jest otrzymywanie niezamówionych przesyłek (tzw. spam). Odbieranie i usuwanie tego rodzaju materiałów jest uciążliwe, czasochłonne, a niekiedy też kosztowne (gdy przesyłki tego rodzaju mają znaczny rozmiar, a użytkownik ponosi opłaty stosownie do ilości przesyłanych danych). W ustawie zawarto ogólny zakaz przesyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny (np. adres e-mail). W ten sposób polski ustawodawca przyjął konstrukcję określaną jako opt-in, zgodnie z którą możliwość przesyłania informacji handlowych uzależniona jest od uzyskania uprzedniej zgody odbiorcy, w przeciwieństwie do konstrukcji opt-out, która zakłada dopuszczalność przesyłania niezamówionych materiałów, o ile odbiorca się temu nie sprzeciwi. Rozwiązanie przyjęte w ustawie o świadczeniu usług drogą elektroniczną odpowiada regule zawartej w art. 6 ust. 3 ustawy z dnia 2 marca 2002 r. o ochronie niektórych praw konsumentów i odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny, w myśl której posłużenie się telefonem, wizjofonem, telefaksem, pocztą elektroniczną, automatycznym urządzeniem wywołującym lub innym środkiem komunikacji elektronicznej w celu złożenia propozycji zawarcia umowy może nastąpić wyłącznie za uprzednią zgodą konsumenta. Zgoda taka, zważywszy na przepis art. 4 u.s.u.d.e., nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być odwołana w każdym czasie, a obowiązek wykazania faktu uzyskania zgody dla celów dowodowych obciąża usługodawcę. Przesyłanie niezamówionej informacji handlowej uznane zostało za czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Ponadto art. 24 u.s.u.d.e. uznaje złamanie zakazu przesyłania niezamówionych informacji handlowych za wykroczenie zagrożone karą grzywny oraz stanowi, że ściganie tego wykroczenia następuje na wniosek pokrzywdzonego.
18.Wyłączenie odpowiedzialności usługodawcy
Istotnym problemem związanym ze świadczeniem usług w internecie jest kwestia odpowiedzialności za naruszenie prawa. Sprowadza się ona do odpowiedzi na pytanie: kto ponosi odpowiedzialność za treści udostępniane w sieci. Nie ulega wątpliwości, że usługodawca za informacje, które wprowadza do sieci i o których treści decyduje, odpowiada na zasadach ogólnych. Wątpliwości pojawiają się wówczas, gdy o treści wprowadzanych do sieci informacji decyduje inny podmiot. Ogólne zasady odpowiedzialności z uwagi na specyfikę świadczonych usług oraz bierny, wyłącznie techniczny charakter działań usługodawcy ulegają tu pewnym modyfikacjom. W ustawie przewidziane zostały trzy sytuacje wyłączenia odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną. Pierwsza z nich to tzw. prosty przekaz danych (mere conduit). Nie ponosi odpowiedzialności za przekazywane dane ten, kto dokonuje jedynie transmisji danych bez ingerencji w ich treść (nie usuwa ani nie modyfikuje danych), przy czym nie jest on inicjatorem transmisji ani nie wybiera odbiorcy danych. Dotyczy to także automatycznego i krótkotrwałego przechowywania transmitowanych danych dokonywanego w celu realizacji transmisji. Druga z określonych w ustawie sytuacji określana jest angielskim terminem caching. Odnosi się ona do wyłączenia odpowiedzialności za przechowywanie danych, gdy transmisja danych oraz ich automatyczne i krótkotrwałe pośrednie przechowywanie dokonywane jest w celu przyspieszenia ponownego dostępu do nich na żądanie innego podmiotu. Warunkiem wyłączenia odpowiedzialności jest, aby podmiot świadczący takie usługi nie usuwał albo nie modyfikował danych, posługiwał się uznanymi i stosowanymi zwykle w tego rodzaju działalności technikami informatycznymi określającymi parametry techniczne dostępu do danych i ich aktualizowania (służą temu tzw. serwery proxy) oraz nie zakłócał posługiwania się technikami informatycznymi uznanymi i stosowanymi zwykle w tego rodzaju działalności w zakresie zbierania informacji o korzystaniu ze zgromadzonych danych (np. licznikami pobrań danej strony www). Podmiot świadczący usługi cachingu ma obowiązek niezwłocznego usunięcia danych albo uniemożliwienia dostępu do przechowywanych danych, w przypadku gdy uzyska wiadomość o tym, że dane zostały usunięte z początkowego źródła transmisji lub dostęp do nich został uniemożliwiony, albo gdy sąd lub inny właściwy organ nakazał usunięcie danych lub uniemożliwienie do nich dostępu. Za działania polegające na usunięciu lub uniemożliwieniu dostępu do takich danych usługodawca nie ponosi odpowiedzialności. Trzecia sytuacja odnosi się do usług określanych jako tzw. hosting. Usługa ta polega na udostępnianiu zasobów systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę (np. udostępnienie na serwerze miejsca do umieszczenia strony www oraz zapewnienie innym użytkownikom dostępu do tej strony). Usługodawca, który nie wie o bezprawnym charakterze przechowywanych na jego serwerze danych lub związanej z nimi działalności, nie ponosi odpowiedzialności za ich przechowywanie. Usługodawca, który otrzymał urzędowe zawiadomienie lub uzyskał wiarygodną wiadomość o bezprawnym charakterze danych lub związanej z nimi działalności, powinien niezwłocznie uniemożliwić dostęp do tych danych. W przypadku uzyskania urzędowego zawiadomienia o bezprawnym charakterze dostarczonych przez usługobiorcę danych i uniemożliwienia dostępu do nich, usługodawca nie ponosi odpowiedzialności względem usługobiorcy za powstałą w wyniku tego szkodę. W przypadku uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych i uniemożliwienia dostępu do nich, wyłączenie odpowiedzialności usługodawcy ma miejsce wówczas, jeżeli niezwłocznie zawiadomił on usługobiorcę o zamiarze uniemożliwienia do nich dostępu. Wyłączenie odpowiedzialności nie będzie miało miejsca, jeżeli usługodawca przejął kontrolę nad usługobiorcą w rozumieniu przepisów ustawy z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów.
Warto podkreślić, że ustawa o świadczeniu usług drogą elektroniczną nie nakłada na usługodawców ogólnego obowiązku sprawdzania przekazywanych, przechowywanych lub udostępnianych przez nich danych. Obowiązek taki byłby zresztą ze względów technicznych trudny do wykonania (jeżeli w ogóle możliwy), a co ważniejsze, oznaczałby naruszenie gwarantowanej w art. 49 Konstytucji wolności i tajemnicy komunikowania się.
19.Ochrona danych osobowych - zagadnienia ogólne
Problematyka ochrony danych osób korzystających z usług świadczonych drogą elektroniczną uregulowana została w rozdziale 4 u.s.u.d.e. Omawiana ustawa stanowi lex specialis w stosunku do ustawy o ochronie danych osobowych. Normy zawarte w ustawie o świadczeniu usług drogą elektroniczną uwzględniają specyfikę sektorową tej dziedziny działalności, przez co stanowią dopełnienie i uszczegółowienie ogólnych przepisów zawartych w ustawie o ochronie danych osobowych. Z tego względu uzasadniony jest wniosek, iż przepisy ustawy o świadczeniu usług drogą elektroniczną przewidują dalej idącą ochronę w rozumieniu art. 5 u.o.d.o., a więc wyłączają stosowanie odpowiednich przepisów ustawy o ochronie danych osobowych. Potwierdza to również przepis art. 16 ust. 1 u.s.u.d.e., który do przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną nakazuje stosować przepisy ustawy o ochronie danych osobowych, o ile przepisy rozdziału 4 u.s.u.d.e. nie stanowią inaczej. Oznacza to, że ustawa o ochronie danych osobowych nie znajduje zastosowania do tych kwestii związanych z przetwarzaniem danych osobowych przez usługodawców, które zostały szczegółowo uregulowane w ustawie o świadczeniu usług drogą elektroniczną (chodzi tu przede wszystkim o przepisy dotyczące podstaw dopuszczalności oraz zakresu przetwarzania danych). Do zagadnień związanych z przetwarzaniem i ochroną danych osobowych, które nie zostały odmiennie uregulowane w ustawie o świadczeniu usług drogą elektroniczną (dotyczących m.in. zakresu obowiązywania, definicji ustawowych pojęć, kontroli sprawowanej przez GIODO, ogólnych zasad przetwarzania danych, obowiązków administratorów, praw osób, których dane dotyczą, zabezpieczenia danych, przekazywania danych do państwa trzeciego oraz odpowiedzialności za niezgodne z prawem przetwarzanie danych), znajdują w pełni zastosowanie przepisy ustawy o ochronie danych osobowych .
20.Usługobiorca, usługodawca
Ochroną przewidzianą w ustawie o świadczeniu usług drogą elektroniczną objęte są dane osobowe usługobiorców. Mimo tego, że art. 2 pkt 6 u.s.u.d.e. obejmuje pojęciem usługobiorcy także osoby prawne i jednostki organizacyjne nieposiadające osobowości prawnej, to jednak ochrona danych osobowych, jaką zapewnia omawiana ustawa, odnosi się wyłącznie do osób fizycznych, nie dotyczy innych podmiotów będących usługobiorcami. Wynika to z braku w ustawie o świadczeniu usług drogą elektroniczną odmiennej definicji danych osobowych, co z kolei prowadzi do konieczności stosowania definicji danych osobowych, jaką zawiera art. 6 u.o.d.o. Fakt ten potwierdza również wyliczenie kategorii danych zawarte w art. 18 ust. 1 u.s.u.d.e. Nieco inne rozwiązanie znajdujemy w prawie telekomunikacyjnym, które częściowo rozszerza zakres ochrony, obejmując nią także osoby prawne.
W związku ze świadczeniem usług drogą elektroniczną mogą być przetwarzanie dane osobowe różnego rodzaju, wśród których szczególne znaczenie mają m.in. adresy poczty elektronicznej .
Analizując definicje zawarte w ustawie o ochronie danych osobowych w kontekście świadczenia usług drogą elektroniczną warto rozważyć relację między pojęciami usługodawca i administrator danych. Utożsamianie tych pojęć wydaje się zbytnim uproszczeniem. Niewątpliwie usługodawca, który decyduje o celu i zakresie przetwarzania danych (content provider), będzie administratorem danych w rozumieniu art. 7 pkt 4 u.o.d.o. Jednakże usługodawców, którzy jedynie pośredniczą w świadczeniu usług (intermediary service providers), nie sposób uznać za administratorów danych z uwagi na to, że nie decydują oni o celu i zakresie przetwarzania danych. Zgodnie z przepisami zawartymi w rozdziale 3 u.s.u.d.e. usługodawcy ci (w okolicznościach określonych w art. 12, 13 lub 14 u.s.u.d.e.) nie ponoszą odpowiedzialności za przekazywanie, przechowywanie i udostępnianie danych (w tym także osobowych), co do których o celu i zakresie przetwarzania danych decydują inne podmioty (administratorzy tych danych).
21.Przetwarzanie danych
Wobec braku odmiennej regulacji w ustawie o świadczeniu usług drogą elektroniczną, pod pojęciem przetwarzania danych, zgodnie z art. 7 pkt 2 u.o.d.o., rozumieć należy jakiekolwiek operacje dokonywane na danych osobowych, począwszy od ich zbierania, poprzez wykorzystywanie do różnych celów, a na usuwaniu skończywszy. Ustawa o świadczeniu usług drogą elektroniczną przyznaje ochronę danym osobowym niezależnie od tego, czy przetwarzanie danych dokonywane jest w zbiorze (art. 16 ust. 2 u.s.u.d.e.). Wynika to z uwzględnienia specyfiki świadczenia usług drogą elektroniczną, które ma miejsce w systemach teleinformatycznych. Taka konstrukcja prawna odpowiada ogólnym założeniom dyrektywy 95/46/WE, zgodnie z którymi ochrona danych osobowych obejmować powinna przetwarzanie danych, które dokonywane jest w sposób zautomatyzowany, albo przetwarzanie danych w zbiorach . Postulat taki został uwzględniony również w ustawie o ochronie danych osobowych, która po nowelizacji z dnia 22 stycznia 2004 r. zapewnia ochronę danych osobowych "w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych". Tak zatem dla stosowania ustawy o świadczeniu usług drogą elektroniczną (podobnie jak dla stosowania ustawy o ochronie danych osobowych w systemach informatycznych) nie jest konieczne istnienie zbioru danych osobowych, a więc spełnienie przesłanek, o których mowa w art. 7 pkt 1 u.o.d.o. Niemniej jednak, jeżeli dane w związku ze świadczeniem usług drogą elektroniczną przetwarzane są w zbiorze, wówczas zastosowanie mają również ogólne przepisy ustawy o ochronie danych osobowych odnoszące się do zbiorów (np. przewidujące obowiązek zgłoszenia zbioru do rejestracji).
Biorąc pod uwagę transgraniczny charakter sieci teleinformatycznych nasuwa się wątpliwość, czy zamieszczenie danych osobowych na ogólnodostępnej stronie w internecie jest specyficznym rodzajem ich przetwarzania, a mianowicie przekazywaniem danych osobowych do państwa trzeciego, o czym mowa w przepisach rozdziału 7 u.o.d.o. Odpowiedź na tak postawione pytanie była przedmiotem rozstrzygnięcia Europejskiego Trybunału Sprawiedliwości, który na gruncie prawnym dyrektywy 95/46/WE stwierdził, że w tej sytuacji nie zachodzi przekazywanie danych osobowych, o którym mowa w art. 26 dyrektywy, do państwa trzeciego . Wniosek ten wydaje się aktualny również w odniesieniu do odpowiednich przepisów polskiej ustawy o ochronie danych osobowych.
22.Podstawy dopuszczalności przetwarzania danych osobowych
Ustawa o świadczeniu usług drogą elektroniczną określa cele i zakres, w jakim usługodawcy mogą przetwarzać dane osobowe usługobiorców, oraz wyznacza podstawy, na jakich opierać się może przetwarzanie takich danych. Oznacza to, że ogólne podstawy dopuszczalności przetwarzania danych osobowych, określone w art. 23 i 27 u.o.d.o., nie znajdują zastosowania w odniesieniu do przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną, jako że kwestie te w sposób odmienny uregulowane zostały w omawianej ustawie. Wyraźne oznaczenie celów, w jakich dane mogą być przetwarzane, oraz ograniczenie zakresu ich przetwarzania sprawia, że ustawa o świadczeniu usług drogą elektroniczną zapewnia dalej idący poziom ochrony danych, a przez to osób, których te dane dotyczą. Wzmocnieniu tej ochrony służyć ma także dopuszczenie możliwości przetwarzania danych osobowych jedynie w oparciu o ściśle określone w ustawie podstawy (w tym niekiedy o zgodę usługobiorcy). Przyjęcie możliwości stosowania w tym zakresie także ogólnych podstaw dopuszczalności przetwarzania danych przewidzianych w ustawie o ochronie danych osobowych prowadziłoby do znacznego poszerzenia zakresu i celów, w jakich dane mogłyby być przetwarzane, a przez to pozbawiłoby praktycznego znaczenia ograniczenia, jakie przewiduje ustawa o świadczeniu usług drogą elektroniczną. Ponadto niektóre z podstaw, na jakich opierać się może przetwarzanie danych przez usługodawców, są tożsame z ogólnymi podstawami określonymi w art. 23 u.o.d.o., z czego można wyprowadzić wniosek, iż gdyby w tym zakresie mogły być stosowane podstawy ogólne, ustawodawca nie wprowadzałby ich ponownie do omawianej ustawy.
Przepisy ustawy o świadczeniu usług drogą elektroniczną zawierają kilka szczegółowych podstaw dopuszczalności przetwarzania danych osobowych. Dopuszczalność przetwarzania danych wynikać może albo wprost z konkretnego przepisu (art. 18 ust. 1, 2, 5 i 6, art. 19 ust. 2 pkt 1 oraz art. 21 u.s.u.d.e.), albo wymagana jest zgoda usługobiorcy (art. 19 ust. 2 pkt 2 u.s.u.d.e.), a ponadto ustawa dopuszcza także przetwarzanie danych na podstawie odrębnych ustaw lub umowy (art. 19 ust. 2 pkt 4 u.s.u.d.e.).
W odniesieniu do zgody usługobiorcy warto zwrócić uwagę na przepis art. 4 u.s.u.d.e., który powtarza część definicji zgody zawartej w art. 7 pkt 5 u.o.d.o. zakazując domniemania czy też dorozumiewania faktu wyrażenia zgody z oświadczenia woli o innej treści . Ustawa o świadczeniu usług drogą elektroniczną idzie jednak o krok dalej przewidując explicite możliwość odwołania zgody przez usługobiorcę w każdym czasie. Takie rozwiązanie prawne pozwoli przy interpretacji omawianej ustawy uniknąć wątpliwości, jakie nasuwają się w tym zakresie na gruncie ustawy o ochronie danych osobowych. Ponadto art. 4 ust. 2 u.s.u.d.e. ciężarem udowodnienia faktu uzyskania zgody obarcza usługodawcę. Polska ustawa nie reguluje kwestii dotyczących wyrażenia zgody drogą elektroniczną , co zasadniczo nie oznacza jednak braku możliwości udzielenia zgody na przykład za pośrednictwem formularza zamieszczonego na stronie www. Ustawa nie przewiduje obowiązku utrwalenia oświadczenia o wyrażeniu zgody, a usługodawca może wykazywać fakt uzyskania zgody w dowolny sposób . Wydaje się jednak, iż ze względów dowodowych utrwalanie oświadczenia w odpowiedni sposób, mimo braku wyraźnego przepisu nakładającego taki obowiązek, będzie praktyką dość powszechną.
Określone w ustawie podstawy odnoszą się do pewnych kategorii danych, wyróżnionych ze względu na rodzaj przetwarzanych danych, cel, jakiemu służyć ma przetwarzanie, oraz zakres, w jakim przetwarzanie danych jest dopuszczalne. Analizując przepisy ustawy, wyróżnić należy dwie ogólne kategorie danych: dane stałe i dane eksploatacyjne. Ponadto można wskazać jeszcze jedną szczególną kategorię danych: dane rozliczeniowe. Oprócz tego, analizując przepisy ustawy, daje się wyodrębnić także specyficzne (niejako dodatkowe) zakresy przetwarzania danych: w celach marketingowych, badań rynkowych i preferencji usługobiorców oraz dla wyjaśnienia okoliczności niedozwolonego korzystania z usług. Poniżej omówimy poszczególne kategorie danych uwzględniając określone ustawowo przesłanki i zakres dopuszczalności ich przetwarzania. Zwrócimy także uwagę na niektóre inne kwestie ściśle powiązane z problematyką przetwarzania i ochrony danych osobowych w związku ze świadczeniem usług drogą elektroniczną.
23.Dane stałe
Podstawową kategorię danych osobowych, jakie mogą być przetwarzane przez usługodawców w związku ze świadczeniem usług drogą elektroniczną, tworzą dane usługobiorcy, które są niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między usługodawcą a usługobiorcą. Z uwagi na fakt, że dane te są utrwalane i przechowywane przez usługodawcę przez czas, w którym świadczone są usługi (a niekiedy nawet dłużej), dane te określane są zazwyczaj mianem danych stałych (trwałych) . Zgodnie z art. 18 ust. 1 u.s.u.d.e. w zakresie danych stałych mieszczą się: nazwisko i imiona usługobiorcy; numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość; adres zameldowania na pobyt stały; adres do korespondencji, jeżeli jest inny niż adres zameldowania; dane służące do weryfikacji podpisu elektronicznego usługobiorcy oraz adresy elektroniczne usługobiorcy. Dane te pozwalają na identyfikację usługobiorcy i są konieczne do zawarcia oraz wykonania umowy. Zróżnicowany charakter usług, jakie mogą być świadczone drogą elektroniczną, a także fakt, że stale pojawiają się nowe możliwości w tym zakresie sprawia, iż taki zasób danych może okazać się niewystarczający. Dlatego też wskazany powyżej katalog danych nie jest katalogiem zamkniętym; art. 18 ust. 2 u.s.u.d.e. przewiduje możliwość rozszerzenia tego zakresu, gdy dla realizacji umów lub dokonania innej czynności prawnej z usługobiorcą niezbędne jest przetwarzanie innych danych ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia. Może chodzić tu m.in. o dane dotyczące numeru telefonu, numeru rachunku bankowego, numeru karty płatniczej itp. Usługodawca powinien wyróżnić i oznaczyć te spośród danych dodatkowych, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną . Niepodanie tych danych przez usługobiorcę skutkować może odmową świadczenia mu usług przez usługodawcę.
24.Dane eksploatacyjne
Kolejną kategorią danych osobowych, których przetwarzanie reguluje omawiana ustawa, są tzw. dane eksploatacyjne, czyli dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną. Do danych eksploatacyjnych, zgodnie z przepisem art. 18 ust. 5 u.s.u.d.e., należą: oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych stałych (np. unikalny identyfikator użytkownika w systemie) ; oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca (np. numer telefonu, adres IP); informacje o rozpoczęciu, zakończeniu (dokładny czas) oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną oraz informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną (np. jakie strony www pobierał usługobiorca). Cechą charakterystyczną danych eksploatacyjnych jest to, że na ich podstawie możliwe jest śledzenie i ocena aktywności usługobiorcy. Co więcej, usługobiorca często nie wie, że tego rodzaju dane na jego temat są przetwarzane. Stąd płynie źródło szczególnych zagrożeń dla prywatności usługobiorcy, a co za tym idzie, konieczna jest wzmożona ochrona tego rodzaju informacji.
Ogólną zasadą przyjętą na gruncie ustawy jest zakaz przetwarzania danych osobowych usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą elektroniczną (art. 19 ust. 1 u.s.u.d.e.). Od tego zakazu ustawa przewiduje jednak kilka wyjątków, które dotyczą: danych rozliczeniowych; danych przetwarzanych w celach reklamowych, badań rynku oraz zachowań i preferencji usługobiorców; danych niezbędnych do wyjaśnienia okoliczności niedozwolonego korzystania z usług, a także danych dopuszczonych do przetwarzania na podstawie odrębnych ustaw lub umowy.
25.Dane rozliczeniowe
Niewątpliwie podstawowym celem przetwarzania danych osobowych poza umożliwieniem świadczenia usług drogą elektroniczną jest zapewnienie możliwości dokonywania rozliczeń za świadczone usługi. Specyficznym rodzajem danych eksploatacyjnych są dane rozliczeniowe, czyli dane niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi. Zakres tych danych uzależniony jest od rodzaju świadczonych usług i może kształtować się bardzo różnie. W tej kategorii danych mieszczą się przede wszystkim dane potrzebne do obliczenia należności i wystawienia faktury za wykonane usługi.
Z problematyką dokonywania rozliczeń za świadczone usługi wiąże się kwestia zakresu szczegółowości informacji ujawnianych na rachunku. Szczegółowe informacje uwidoczniane na rachunku z jednej strony pozwalają usługobiorcy na sprawdzenie poprawności naliczonych opłat, a z drugiej strony mogą stanowić zagrożenie dla prywatności usługobiorcy, poprzez ujawnienie osobom trzecim rodzaju i zakresu usług, z których usługobiorca korzystał. Przepisy ustawy służyć mają pogodzeniu tych konkurencyjnych względem siebie wartości. Zgodnie z art. 19 ust. 3 u.s.u.d.e. rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie. W ten sposób nałożono na usługodawcę obowiązek sporządzania ogólnych rachunków (niezawierających szczegółowych informacji o sposobie korzystania przez usługobiorcę z usług), natomiast tzw. billing szczegółowy usługodawca ma obowiązek sporządzać jedynie na wyraźne żądanie usługobiorcy.
Analizowana ustawa nie reguluje kwestii przekazywania danych rozliczeniowych innym podmiotom, z którymi usługodawca zawarł umowę o pobieranie zapłaty za świadczone usługi . Powstaje w związku z tym problem, na jakiej podstawie podmioty te mogą przekazywać sobie wzajemnie informacje potrzebne do dokonywania rozliczeń. W obowiązującym stanie prawnym odpowiednią podstawą w tym zakresie wydaje się jedynie przepis art. 19 ust. 2 pkt 4 u.s.u.d.e., zgodnie z którym usługodawca może przetwarzać dane, które zostały dopuszczone do przetwarzania na podstawie umowy. Wiąże się to więc z koniecznością wprowadzenia do umowy z usługobiorcą odpowiednich postanowień uprawniających usługodawcę do przekazywania innemu podmiotowi danych w celach rozliczeniowych.
W ustawie nie wskazano maksymalnego okresu, przez jaki dane mogą być przechowywane, poprzestając na ogólnym stwierdzeniu, iż po zakończeniu korzystania z usługi usługodawca może przetwarzać dane niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi.
26.Marketing i badania rynku, tworzenie profilów
Kolejnym zakresem, w jakim dane usługobiorców mogą być przetwarzane, jest obszar związany z wykorzystywaniem danych w celach reklamowych, badaniami rynku oraz zachowań i preferencji usługobiorców. Ustawa dopuszcza przetwarzanie danych we wskazanych powyżej celach, jednakże wymaga w tym zakresie wyraźnej zgody usługobiorcy (art. 19 ust. 2 pkt 2 u.s.u.d.e.). Ponadto omawiana ustawa przewiduje możliwość rozszerzenia zakresu danych, mianowicie: usługodawca może przetwarzać, za zgodą usługobiorcy, dla wskazanych powyżej celów także inne dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną (art. 18 ust. 4 u.s.u.d.e.). W odniesieniu do badań rynku oraz zachowań i preferencji usługobiorców ustawa stanowi, iż wyniki tych badań mają być przeznaczone na potrzeby polepszenia jakości usług świadczonych przez usługodawcę.
Istotnym problemem, ściśle związanym z przetwarzaniem danych osobowych, jest kwestia zestawiania danych i tworzenia profilów użytkowników. Działania takie niosą za sobą szczególne zagrożenia dla prywatności użytkowników, które potęguje niezwykła łatwość dokonywania tego rodzaju czynności w środowisku sieci teleinformatycznych (z uwagi na cyfrową postać danych, możliwość ich kopiowania, analizowania itp.). Z drugiej jednak strony zestawianie i analiza danych może być wykorzystywane w celu poprawy jakości świadczonych usług oraz uwzględnienia preferencji usługobiorców. Z tych względów ustawa wprowadza rozwiązanie kompromisowe; pozwala pod pewnymi warunkami sporządzać profile, ale zasadniczo nakazuje ich anonimizację. Artykuł 19 ust. 4 u.s.u.d.e. dopuszcza jedynie zestawianie danych przetwarzanych za zgodą usługodawcy dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców (danych, które nie są niezbędne do świadczenia usługi) i danych eksploatacyjnych dotyczących korzystania przez usługobiorcę z różnych usług świadczonych drogą elektroniczną, pod warunkiem usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (tzw. anonimizacja danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych oznaczeń. Warto podkreślić, iż nawet wówczas, gdy usługobiorca wyraził swoją zgodę na to, aby dane nie zostały zanonimizowane, usługodawca nie może w celach marketingowych zestawiać danych eksploatacyjnych z danymi stałymi, wskazanymi w art. 18 ust. 1 i 2 u.s.u.d.e. (tj. danymi, które są niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania umowy oraz dokonania innej czynności prawnej usługodawcy z usługobiorcą). Ponadto przepis art. 19 ust. 5 u.s.u.d.e. zakazuje usługodawcy zestawiania danych osobowych usługobiorcy z przybranym przez niego pseudonimem.
27.Niedozwolone korzystanie
Przetwarzanie danych osobowych dotyczących aktywności usługobiorców niezbędne jest także dla realizacji szczególnego celu - wykrywania i zwalczania nadużyć polegających na korzystaniu z usług w sposób sprzeczny z regulaminem świadczonych usług bądź z przepisami prawa (tzw. niedozwolone korzystanie). Ustawa (art. 21) uprawnia usługodawcę do przetwarzania danych usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, w przypadku gdy usługodawca uzyska wiadomość o niedozwolonym korzystaniu przez usługobiorcę z usługi. W tej sytuacji usługodawca ma obowiązek utrwalenia dla celów dowodowych faktu uzyskania oraz treści tych wiadomości, natomiast nie ma obowiązku powiadomienia usługobiorcy o tym, że gromadzi dane na jego temat w związku z niedozwolonym korzystaniem, gdyż mogłoby to znacznie utrudnić, a niekiedy nawet uniemożliwić udowodnienie faktu niedozwolonego korzystania z usług. Usługodawca może poinformować o tym usługobiorcę, gdy uzna to za stosowne. Usługodawca może również (ale nie musi) powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania.
W zakresie wykrywania przestępstw, jak również w innych przypadkach przez prawo określonych, na usługodawcę nałożony został obowiązek współdziałania z odpowiednimi organami. Zgodnie z art. 18 ust. 6 u.s.u.d.e. usługodawca "udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań." Sformułowanie tego przepisu budzić może wątpliwości interpretacyjne , choć jasny wydaje się cel wprowadzonego w ten sposób obowiązku.
28.Przetwarzanie danych na podstawie odrębnych ustaw lub umowy
Ustawa o świadczeniu usług drogą elektroniczną przewiduje także możliwość przetwarzania danych osobowych usługobiorcy po zakończeniu korzystania przez niego z usługi w przypadku, gdy jest to dopuszczone na podstawie odrębnej ustawy lub umowy. Przykładem przepisów ustawowych, które nakazują dłuższe przetwarzanie (przechowywanie) danych, są przepisy o rachunkowości. Nakazują one przechowywanie danych dotyczących rozliczeń (zawartych w odpowiednich dokumentach) przez określony czas po zakończeniu korzystania z usługi, a nawet po dokonaniu rozliczenia za usługi. Jeśli chodzi o dopuszczalność przetwarzania danych osobowych na podstawie umowy, to należy przyjąć, iż postanowienia umowy między usługodawcą a usługobiorcą (w tym również klauzule odnoszące się do przetwarzania danych) nie powinny wykraczać poza granice wyznaczone celami, które określa ustawa. Ograniczenie takie wynika z art. 17 u.s.u.d.e. i ma służyć zapewnieniu skutecznej ochrony danych osobowych użytkownika, która to ochrona mogłaby zostać znacznie osłabiona przez dopuszczenie przetwarzania danych w innych, niewskazanych w przepisach ustawy celach.
29.Dodatkowe obowiązki informacyjne usługodawcy
Oprócz ogólnych obowiązków informacyjnych (obejmujących informacje identyfikujące usługodawcę, informacje o zagrożeniach, oprogramowaniu, regulaminie oraz odnoszących się do informacji handlowych) ustawa nakłada na usługodawcę, który przetwarza dane osobowe w związku ze świadczeniem usług drogą elektroniczną, dodatkowe obowiązki informacyjne w zakresie ochrony danych osobowych . Obejmują one aktualne informacje o: możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu; udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych przesyłanych drogą elektroniczną; podmiocie, któremu usługodawca powierza przetwarzanie danych osobowych, ich zakresie i zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie przetwarzania danych. Usługodawca nie ma obowiązku przekazywania (przesyłania) tych informacji każdemu usługobiorcy, a jedynie jest obowiązany zapewnić usługobiorcy dostęp do nich, przy czym informacje te powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje (np. zamieszczone na stronach www usługodawcy).
30.Odmowa świadczenia usług. Dostęp anonimowy i pseudonimowy
Stosunkowo częstą praktyką podmiotów oferujących usługi w internecie jest uzależnianie świadczenia tych usług od podania przez usługobiorcę danych osobowych, a często również od wyrażenia zgody na przetwarzanie danych w celach marketingowych. Ustawa zawiera rozwiązania prawne, które z założenia służyć mają zapobieganiu "wymuszania" podawania danych osobowych i udzielania zgody na ich przetwarzanie. Zgodnie z przepisem art. 22 ust. 1 u.s.u.d.e. odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę danych stałych jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw. Jednakże, wobec braku sankcji za naruszenie tego przepisu, jego skuteczność może być podawana w wątpliwość.
Biorąc pod uwagę fakt, iż przetwarzanie danych stanowi zagrożenie dla prywatności usługobiorców tylko wtedy, gdy dane te można powiązać z konkretną osobą, ustawa zachęca usługodawców do zapewnienia usługobiorcom dostępu do usług świadczonych drogą elektroniczną oraz uiszczania opłat za te usługi w sposób anonimowy lub przy użyciu pseudonimu. Ustawa nie nakłada jednak na usługodawców bezwzględnego obowiązku zapewnienia takiego dostępu do usług w każdym przypadku, a jedynie wówczas, gdy jest to technicznie możliwe oraz zwyczajowo przyjęte. Typowym przykładem korzystania z usług dostępnych (w większości) anonimowo jest przeglądanie ogólnodostępnych stron www, natomiast usługobiorcy korzystają z pseudonimów m.in. uczestnicząc w dyskusjach w ramach usługi grup dyskusyjnych (news).
Na zakończenie należy jeszcze raz podkreślić, iż w zakresie nieuregulowanym odmiennie w ustawie o świadczeniu usług drogą elektroniczną w odniesieniu do przetwarzania i ochrony danych osobowych zastosowanie mają odpowiednie przepisy ustawy o ochronie danych osobowych.
VII.Szczególne przepisy o ochronie danych osobowych w telekomunikacji
Uwagi wstępne
1.
Dyrektywa 95/46/WE Rady i Parlamentu Europejskiego z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych przewiduje możliwość wydania sektorowych regulacji uwzględniających specyfikę przetwarzania i ochrony danych w różnych dziedzinach. W sektorze telekomunikacyjnym tego rodzaju szczególną regulacją była dyrektywa 97/66/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 1997 r. w sprawie przetwarzania danych osobowych i ochrony prywatności w dziedzinie telekomunikacji (którą dalej określamy mianem dyrektywy telekomunikacyjnej) . Dyrektywa dotyczyła przetwarzania danych osobowych w ramach publicznych usług telekomunikacyjnych, w szczególności przy wykorzystaniu sieci cyfrowych z integracją usług (ISDN) i publicznych cyfrowych sieci telefonii komórkowej. Dyrektywa telekomunikacyjna wydana została niejako w odpowiedzi na wprowadzenia technologii cyfrowej do publicznych sieci telekomunikacyjnych, co pociągnęło za sobą powstanie nowych zagrożeń dla ochrony danych osobowych i prywatności związanych z tą technologią. Chodzi tu przede wszystkim o zwiększenie ryzyka naruszenia tych dóbr w związku z automatycznym przetwarzaniem i magazynowaniem danych dotyczących abonentów i użytkowników .
Gwałtowny rozwój technologii cyfrowej oraz tendencja do zacierania się granic pomiędzy telekomunikacją, mediami i informatyką sprawiły, że konieczne stały się zmiany regulacji prawnych odnoszących się do sektora telekomunikacyjnego. W roku 2002 wydany został tzw. nowy pakiet regulacji dla sieci i usług komunikacji elektronicznej, w skład którego wchodzi dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (określana dalej skrótowo jako dyrektywa o ochronie prywatności i komunikacji elektronicznej) . Dyrektywa ta zastąpiła dyrektywę telekomunikacyjną 97/66/WE. Jak wyjaśniono w preambule nowej dyrektywy, nie ma ona wprowadzać zasadniczych zmian w istocie obowiązującej dotąd regulacji, a raczej uaktualnić i przystosować istniejące postanowienia do obecnego (i przyszłego) rozwoju usług i technologii komunikacji elektronicznej. Podstawowym celem wprowadzonych zmian ma być stworzenie neutralnych technologicznie zasad, które nie narzucają ani też nie dyskryminują używania określonej technologii, ale zapewniają, iż ta sama usługa regulowana jest w równorzędny sposób, niezależnie od środków, za pomocą których jest dostarczana. Konsekwencją przyjęcia takiego założenia ma być uzyskanie przez abonentów i użytkowników tego samego poziomu ochrony, niezależnego od używanej technologii .
Zakres obowiązywania dyrektywy o prywatności i komunikacji elektronicznej jest szerszy niż dyrektywy telekomunikacyjnej, z uwagi na zastąpienie dotychczasowego pojęcia "usługi telekomunikacyjne" bardziej pojemnym określeniem "usługi komunikacji elektronicznej" . Pozwala to na objęcie zakresem regulacji oprócz tradycyjnych usług telekomunikacyjnych także m.in. przekazów w sieciach teleinformatycznych (w tym w internecie). Podstawowe znaczenie dla omawianej regulacji ma pojęcie przekaz (communication) , zdefiniowane w art. 2 lit. d) dyrektywy, które oznacza jakąkolwiek informację wymienianą lub transmitowaną pomiędzy ograniczoną liczbą stron za pomocą publicznie dostępnych usług komunikacji elektronicznej. Pojęcie to nie obejmuje informacji przekazywanej jako część usługi rozpowszechniania poprzez sieć komunikacji elektronicznej, z wyjątkiem gdy informacja może odnosić się do możliwego do zidentyfikowania abonenta lub użytkownika otrzymującego informację (np. przy usługach wideo na żądanie video-on-demand) . W zakresie przekazu mieści się zarówno tradycyjne połączenie (wywołanie) telefoniczne (call), jak również wiadomość przesyłana pocztą elektroniczną (e-mail).
Dyrektywa o prywatności i komunikacji elektronicznej, podobnie jak dyrektywa telekomunikacyjna, przewiduje możliwość objęcia ochroną także osób prawnych z uwagi na ich uzasadnione interesy.
Zapewnienie bezpieczeństwa i poufności
2.
Podstawowe zobowiązanie dostawcy usług polega na zapewnieniu odpowiedniego bezpieczeństwa przy korzystaniu z sieci telekomunikacyjnej (art. 4). Powinien on podjąć stosowne kroki w celu uniemożliwienia (lub co najmniej znacznego utrudnienia) prowadzenia podsłuchu przez osoby nieupoważnione. W rekomendacji 2 (99) podkreślono, że chodzi tu o wykorzystanie najbardziej zaawansowanych technik, gwarantujących zachowanie bezpieczeństwa komunikacji i ochrony prywatności. Sama dyrektywa jest w tej mierze jednak mniej kategoryczna, przewidując że przy podejmowaniu decyzji w sprawie "instalacji" zabezpieczenia należy brać pod uwagę stan techniki, koszty realizacji zabezpieczenia, a także to, by poziom zabezpieczenia był stosowny do ryzyka naruszenia bezpieczeństwa przekazu. W przypadku istnienia szczególnego niebezpieczeństwa naruszenia poufności przekazu, pomimo podjętych zabezpieczeń, dostawca powinien poinformować o tym swych klientów, łącznie z ewentualnym wskazaniem sposobu i kosztów dodatkowych odpowiednich zabezpieczeń. Równolegle dyrektywa zawiera wymóg wprowadzenia regulacji prawnych w sprawie zakazu podsłuchu, nagrywania, przechowywania lub innych postaci przejmowania lub śledzenia komunikowania się, z wyłączeniem przypadków wyraźnie określonych przez prawo . Zaznaczmy, że wprowadzenie tych zakazów nie dotyczy samych użytkowników systemów telekomunikacyjnych, toteż mogą oni nagrywać swe własne przekazy. Nadto postanowienie art. 5 dyrektywy nie narusza jakichkolwiek prawnie dozwolonych nagrań przekazów realizowanych dla celów dowodowych w związku z zawieraniem transakcji lub z dokonywaniem innych czynności handlowych.
Szczególne znaczenie praktyczne posiada możliwość legalnego podsłuchiwania rozmów telefonicznych w związku z prowadzeniem śledztw w sprawach karnych, a także z ochroną interesów bezpieczeństwa narodowego . Granice dla wprowadzenia w tym zakresie stosowanych upoważnień wyznaczają nie tylko normy wspólnotowe, lecz także postanowienia europejskiej konwencji o ochronie praw człowieka i podstawowych wolności, a zwłaszcza jej art. 8 ust. 2 . Obecnie trwają prace nad nowym projektem rezolucji Rady , zastępującym dotychczas stosowaną regulację z 1995 r. w sprawie legalnego podsłuchiwania przekazów telekomunikacyjnych. Projekt z 1999 r. oparty jest na założeniu przejęcia treści dotychczasowej rezolucji (dotyczącej przede wszystkim określenia wspólnych standardów technicznych dla legalnego podsłuchu) i uzupełnienia jej nowymi wyjaśnieniami, w szczególności odnoszącymi się do internetu .
W świetle powoływanej już rekomendacji 2 (99) ustawodawstwa krajowe, wprowadzając regulacje w sprawie podsłuchu, powinny między innymi wyraźnie wskazywać i wprowadzać:
organy upoważnione do zezwalania na podsłuch telekomunikacyjny, łącznie z podstawami prawnymi do ich działania,
cel dokonywania podsłuchu, umożliwiający wyważenie chronionych interesów,
zakaz ustanawiania "generalnego podsłuchu",
wyraźne określenie okoliczności i warunków realizowania podsłuchu,
środki bezpieczeństwa przewidziane dla przetwarzania danych osobowych uzyskanych z podsłuchu oraz czas przechowywania tak uzyskanych danych,
gwarancje bezpieczeństwa dla danych osób pośrednio narażonych przez podsłuch lub których przekazy zostały przypadkowo uzyskane,
obowiązek informacji zainteresowanego o podsłuchu w najwcześniejszym momencie oznaczanym z uwzględnieniem celów śledztwa,
zasady sprzeciwu zainteresowanego przeciwko podsłuchowi,
nadzór niezależnego organu nad realizacją podsłuchu,
wymóg publikacji regularnych statystycznych danych o zakresie prowadzonego podsłuchu,
zasady i warunki udostępniania danych stronom trzecim w ramach dwustronnych i wielostronnych porozumień.
Ochrona danych osobowych użytkownika
3.Dane dotyczące ruchu
Rozbudowane postanowienia dyrektywy dotyczą danych osobowych związanych z korzystaniem z usług komunikacji elektronicznej. Oprócz obowiązku zapewnienia poufności treści przekazu, art. 5 dyrektywy zobowiązuje państwa członkowskie do zagwarantowania poufności związanych z przekazem danych dotyczących ruchu (traffic data), przez które dyrektywa rozumie wszelkie dane przetwarzane w celu przesyłania przekazu w sieciach komunikacji elektronicznej lub ustalenia należności z tego tytułu. Dane dotyczące ruchu, określane również mianem danych transmisyjnych , mogą - jak wyjaśniono w preambule dyrektywy - zawierać m.in. dane o wyborze drogi (routing), położeniu terminala użytkownika, informacji o sieci, czasie rozpoczęcia i zakończenia połączenia oraz formatu, w jakim przekaz jest dokonywany. Poprzez powiązanie tych danych z konkretną osobą możliwe staje się uzyskanie informacji o sposobie i zakresie korzystania przez tę osobę z usług. Pociąga to za sobą istotne zagrożenia dla prywatności użytkowników.
W tym zakresie przyjęta została ogólna zasada przewidująca obowiązek usunięcia takich danych lub poddania ich anonimizacji z chwilą, gdy nie są już potrzebne w celu transmisji przekazu. Od tej zasady przewidziano kilka wyjątków dotyczących: przetwarzania danych w celach rozliczeniowych; świadczenia usług o wartości dodanej; przetwarzania danych w celach marketingowych oraz wykrywania oszustw, a także w związku z prowadzeniem postępowań przez uprawnione organy . Wykorzystywanie danych w celach marketingowych jest uzależnione od zgody użytkownika.
Dyrektywa o prywatności i komunikacji elektronicznej (art. 5 ust. 3) reguluje także kwestię zapisywania i dostępu do informacji przechowywanych w terminalu użytkownika (np. pliki cookies). Wykorzystywanie tego rodzaju technologii jest dozwolone, pod warunkiem że użytkownik zostanie o tym poinformowany i będzie miał możliwość wyrażenia sprzeciwu.
4.Sporządzanie rachunków
Dane dotyczące ruchu mogą być przetwarzane w zakresie niezbędnym dla celów naliczania opłat za usługi, zweryfikowania płatności oraz realizacji rozliczeń między operatorami. Szczególne znaczenie dla ochrony danych osobowych posiada regulacja odnosząca się do sporządzania rachunków za zrealizowane usługi. Zauważa się, że rachunki, w których wyszczególnione zostały dokładne informacje o usługach, umożliwiają uzyskanie informacji o kręgu znajomych abonenta i częstotliwości kontaktów z nimi. Z drugiej strony tego rodzaju rachunki ułatwiają kontrolę prawidłowości naliczania opłat. Ze względu na te okoliczności przyznano abonentowi (w art. 7) prawo otrzymywania rachunków, w których nie byłyby wyszczególnione poszczególne usługi, z których korzystał (rachunków uproszczonych).
Dyrektywa sugeruje przy tym wprowadzenie do ustawodawstw krajowych takich mechanizmów prawnych, które gwarantowałyby ochronę prywatności abonentów i innych osób korzystających z usług przy zachowaniu wyszczególnienia realizowanych usług na rachunkach . Postuluje się nadto rozwinięcie anonimowego lub ściśle prywatnego dostępu do publicznych usług komunikacji elektronicznej przy wykorzystaniu kart kredytowych. Szczególną postacią zabezpieczenia poufności jest wymóg wprowadzania anonimowych "uprzednio opłaconych" kart telefonicznych (typu pre-paid) .
Ze względu na różnorodność usług komunikacji elektronicznej i wielość sposobów dokonywania płatności za te usługi, dla wystawienia rachunków potrzebne mogą być różne informacje, a ich zakres nie jest jednolity. Biorąc to pod uwagę, w dyrektywie o prywatności i komunikacji elektronicznej zrezygnowano ze wskazania rodzajów danych, które mogą być przetwarzane w celu wystawienia rachunku.
Okres przechowywania danych osobowych koniecznych dla określenia płatności nie powinien być dłuższy niż niezbędny dla umożliwienia abonentowi kontroli prawidłowości rachunku; w powoływanej rekomendacji 3 (99) wskazuje się, że w kilku krajach Wspólnoty uznano, iż stosowny termin nie powinien przekraczać 3 miesięcy .
Poza tym dyrektywa nakazuje, aby przetwarzanie danych osobowych w celu realizowania połączeń i wystawiania rachunków było realizowane przez osobę działającą na podstawie upoważnienia dostawcy usług bądź przez własnego pracownika usługodawcy ; przetwarzanie to powinno być ograniczone do czynności koniecznych dla tego rodzaju działalności.
5.Uwidacznianie numerów
W interesie konsumenta nałożono na dostawcę usług - jeśli chodzi o systemy informujące adresata o numerze osoby telefonującej do niej albo, z drugiej strony, o systemy uwidaczniające numer, z którym uzyskano połączenie - obowiązek generalnego, bezpłatnego zablokowania "wyświetlania" tego rodzaju informacji na życzenie osoby zainteresowanej utrzymaniem w tajemnicy danych jej dotyczących . Temu podstawowemu obowiązkowi towarzyszy nadto obowiązek:
uprzedniego informowania abonentów o istnieniu systemów identyfikacyjnych w danej sieci i związanych z tym opcjach w zakresie ochrony prywatności,
stworzenia możliwości bezpłatnego zablokowania identyfikacji własnego numeru w przypadku oznaczonej "jednostkowej" rozmowy,
stworzenia możliwości bezpłatnego zablokowania identyfikacji własnego numeru względem rozmów z osobą, która zablokowała identyfikację swojego numeru.
Przepis art. 10 dyrektywy zawiera regulację odnoszącą się do ograniczenia wskazanych wyżej praw. Ograniczenie powinno mieć podstawę w transparentnej regulacji prawnej zezwalającej świadczącym usługi telekomunikacyjne na:
czasowe rejestrowanie i udostępnianie numerów "przychodzących" telefonów na żądanie abonenta ze względu na "nękające" go telefony od nieznanych osób,
wyłączenie anonimizacji w odniesieniu do oznaczonych numerów takich służb publicznych, jak straż pożarna, pogotowie itd. w celu umożliwienia "odtelefonowania" do zgłaszającego.
Dodatkowym uprawnieniem, jakie powinno być przyznane abonentom, jest prawo do zablokowania automatycznie przekazywanych wywołań, skierowanych przez osoby trzecie do urządzenia końcowego tego abonenta.
6.Dane o lokalizacji
Dyrektywa wyróżnia także szczególną kategorię danych dotyczących ruchu - tzw. dane o lokalizacji (location data). Pod tym pojęciem kryją się dane przetwarzane w sieci komunikacji elektronicznej, wskazujące pozycję geograficzną urządzenia końcowego użytkownika (długość i szerokość geograficzna, wysokość n.p.m., kierunek przemieszczania się, stopień dokładności informacji itp.). Dotyczy to przede wszystkim informacji o lokalizacji telefonów komórkowych, a przez to także użytkowników, którzy z tych telefonów korzystają. Artykuł 9 dyrektywy pozwala na przetwarzanie danych o lokalizacji niebędących danymi o ruchu (a więc danych, które są niejako dodatkowe, nie są potrzebne dla przesyłania przekazu ani naliczania opłat) albo w formie anonimowej, albo za zgodą użytkownika w formie pozwalającej na jego identyfikację. Przetwarzanie tych danych służyć ma realizacji tzw. usług o wartości dodanej (np. usług polegających na wskazaniu drogi, dostarczaniu informacji o ruchu drogowym, prognozy pogody, informacji turystycznej itp.). Przed udzieleniem zgody użytkownik powinien zostać poinformowany o zakresie i celu przetwarzania danych, a po udzieleniu zgody powinien mieć zapewnioną możliwość jej cofnięcia w każdym czasie, w prosty sposób i bezpłatnie.
7.Spisy abonentów
Przedmiotem regulacji zawartej w dyrektywie są także spisy abonentów. Przed włączeniem danych do spisu, abonenci powinni zostać poinformowani o celu spisu i możliwościach wykorzystania danych zawartych w spisie. Spisy mogą przybierać tradycyjną postać książek telefonicznych, ale mogą być także sporządzane w formie elektronicznej (np. bazy danych na płycie CD-ROM) oraz udostępniane przez internet czy też w formie usługi informacji telefonicznej. Dyrektywa ustanawia tu wymóg pozostawienia abonentom decyzji co do tego, czy ich dane osobowe mają być włączone do publicznie dostępnych spisów, a jeśli tak, to w jakim zakresie. Oznacza to, że abonent powinien móc zdecydować zarówno o nieumieszczaniu jego danych w spisie (tzw. zastrzeżenie danych), jak i o rozszerzeniu zakresu danych zawartych w spisie. Ponadto abonenci powinni mieć zapewnioną możliwość poprawienia, a nawet żądania usunięcia danych na swój temat. Za korzystanie z uprawnień związanych z zastrzeżeniem oraz weryfikacją danych nie powinny być pobierane opłaty (art. 12 ust. 2in fine). Państwa członkowskie mogą określić minimum danych pozwalających na identyfikację abonenta.
8.Marketing bezpośredni
Odrębne postanowienia dyrektywy dotyczą obowiązku uzyskania uprzedniej zgody abonenta na połączenia z nadaniami realizowanymi bez udziału człowieka, a to w postaci faksów lub informacji głosowych mających służyć marketingowi bezpośredniemu (art. 13). Ustawodawstwa krajowe powinny natomiast wprowadzić zakaz "wykonywania osobiście" przekazów w celach marketingu bezpośredniego, jeżeli nie towarzyszy temu "równoległa" zgoda abonenta albo chodzi o abonenta, który nie życzy sobie tego rodzaju połączeń. Dyrektywa pozostawia w tym zakresie państwom członkowskim możliwość wyboru pomiędzy wariantami opt-in i opt-out.
W literaturze prawniczej kwestionuje się wprowadzanie różnej regulacji co do ochrony prywatności, w zależności od tego, czy "połączenia marketingowe" realizowane są automatycznie czy też z udziałem człowieka. Przypuszcza się, że jest to swoiste odbicie szczególnej regulacji przyjętej w dyrektywie o ochronie danych osobowych w odniesieniu do automatycznych decyzji podejmowanych przy wykorzystaniu danych osobowych .
Odnotujmy poza tym tutaj, że podobna regulacja zawarta jest w dyrektywie w sprawie sprzedaży na odległość, która w odniesieniu do przekazu telefonicznego zawiera wymóg wyraźnego zidentyfikowania sprzedawcy i celu rozmowy na początku połączenia. Nadto art. 10 przewiduje, że w przypadku automatycznego systemu połączeń bez udziału człowieka (automatic calling machine) lub faksu konieczne jest uprzednie uzyskanie zgody konsumenta .
Gdy chodzi o wykorzystywanie adresów poczty elektronicznej w celach marketingowych, dyrektywa dopuszcza takie działania z wykorzystaniem adresów "kontaktowych swoich klientów", pod warunkiem że działania te odnoszą się do marketingu własnych, podobnych produktów lub usług, a osoby, których dane te dotyczą, uzyskały możliwość bezpłatnie i w prosty sposób wyrażenia sprzeciwu za każdym razem, gdy przekazy takie są wysyłane. Dyrektywa stanowczo zakazuje wysyłania poczty elektronicznej w celach marketingowych w sposób nieujawniający tożsamości nadawcy albo niezawierającej ważnego adresu, pod który odbiorcy mogą wysłać żądanie, aby tego rodzaju przekazy zostały przerwane.
Sprzęt
9.
Przepis art. 14 dyrektywy ma zabezpieczać przed nieuzasadnioną ochroną rynku wewnętrznego krajów członkowskich pod pretekstem realizacji wymogów dyrektywy. Chodzi o ograniczenie jednostronnego narzucania konieczności stosowania określonego sprzętu technicznego telekomunikacyjnego w celu spełnienia standardów określonych w dyrektywie. Dyrektywa przewiduje w tym zakresie obowiązek informowania Komisji przez kraje członkowskie o stwierdzeniu, że dla realizacji dyrektywy konieczne jest stosowanie tylko określonego sprzętu. Nadto Komisja, gdy będzie to uzasadnione, opracuje wspólne europejskie (techniczne) standardy konieczne dla implementacji rozwiązań przyjętych w dyrektywie.
Retencja danych
10.
Od dłuższego już czasu wiele kontrowersji budzi kwestia zatrzymywania (gromadzenia i archiwizowania) przez usługodawców danych o ruchu w sieciach telekomunikacyjnych w celu zapobiegania, dochodzenia, wykrywania i ścigania przestępstw, określana skrótowo jako tzw. retencja danych. Dyskusje na ten temat nasiliły się wskutek zamachów terrorystycznych. Zwolennicy retencji uważają, że jest ona "koniecznym warunkiem bezpieczeństwa publicznego w erze społeczeństwa informacyjnego i globalnego zagrożenia terroryzmem", natomiast przeciwnicy wskazują, iż zatrzymywanie danych "stanowi głęboką ingerencję w sferę praw i wolności obywatelskich, która narusza utrwalone w Europie standardy ochrony praw człowieka", a ponadto jest to "kosztowne i nieefektywne narzędzie, którego wprowadzenie może przyczynić się nie tyle do podniesienia poziomu bezpieczeństwa obywateli, co poziomu cen usług telekomunikacyjnych".
Dnia 15 marca 2006 r. wydana została dyrektywa Parlamentu Europejskiego i Rady (2006/24/WE) w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE (Official Journal L 105, 13/04/2006, s. 54). W dyrektywie 2006/24/WE nałożono na państwa członkowskie obowiązek wprowadzenia do ustawodawstwa wewnętrznego rozwiązań zapewniających zatrzymywanie danych przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności w trakcie świadczenia usług. W art. 5 dyrektywy 2006/24/WE określone zostały kategorie danych, które mają być gromadzone. Wyszczególnione tam rodzaje danych podzielone zostały na następujące grupy: a) dane niezbędne do ustalenia źródła połączenia; b) dane niezbędne do ustalenia odbiorcy połączenia; c) dane niezbędne do określenia daty, godziny i czasu trwania połączenia; d) dane niezbędne do określenia rodzaju połączenia; e) dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji; a także f) dane niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej. W dyrektywie podkreślono, że nie można zatrzymywać danych, które ujawniają treść przekazu (komunikatu). W art. 6 dyrektywy określony został czas, na który dane mają być zatrzymywane; nie powinien być on krótszy niż 6 miesięcy i dłuższy niż 2 lata od daty połączenia. W dyrektywie określono także wymogi dotyczące zabezpieczenia zatrzymywanych danych. Konsekwencją przyjęcia dyrektywy dotyczącej retencji danych była zmiana dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej, do której dodano art. 15 ustęp 1a, w celu zharmonizowania obu dyrektyw.
Polskie prawo telekomunikacyjne
11.Ustawa z 2004 r. - Prawo telekomunikacyjne
Problematyka ochrony danych osobowych jest również przedmiotem regulacji ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne , która zastąpiła ustawę o takim samym tytule z dnia 21 lipca 2000 r. Przepisy nowej ustawy stanowią implementację pakietu unijnych dyrektyw odnoszących się do komunikacji elektronicznej, wśród których znajduje się również wskazywana już powyżej dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej. Znajduje ona odzwierciedlenie w przepisach działu VII pr. telekom. zatytułowanego "Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych" . Wspomniana dyrektywa została także implementowana do prawa polskiego przepisami ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, jednak zgodnie z art. 3 pkt 3 u.s.u.d.e. ustawa ta nie ma zastosowania do świadczenia przez operatora usług telekomunikacyjnych polegających na przekazywaniu danych lub sygnałów między zakończeniami sieci telekomunikacyjnej, gdy ten, kto transmituje dane nie jest inicjatorem transmisji, nie wybiera odbiorcy danych oraz nie usuwa albo nie modyfikuje danych będących przedmiotem transmisji. Formuła tego wyłączenia odpowiada zakresowi działalności telekomunikacyjnej w rozumieniu prawa telekomunikacyjnego, co - jak trafnie wskazuje się w literaturze przedmiotu - sprawia, że pomimo wspólnego źródła, nie powinien występować tu zbieg przepisów tych dwóch ustaw, a przepisy prawa telekomunikacyjnego usunęły negatywne skutki wyłączenia zawartego w art. 3 pkt 3 u.s.u.d.e.
Gdy chodzi o relacje pomiędzy prawem telekomunikacyjnym a ustawą o ochronie danych osobowych, to stwierdzić można, że niektóre przepisy prawa telekomunikacyjnego przewidują dalej idącą ochronę danych niż przepisy ustawy o ochronie danych osobowych, a więc zgodnie z art. 5 u.o.d.o. wyłączają stosowanie części przepisów ustawy o ochronie danych osobowych. Jednak w niektórych kwestiach szczegółowych ocena w tym zakresie jest niezwykle trudna i z pewnością można stwierdzić jedynie, że ochrona ta jest inaczej ukształtowana.
12.Pojęcie i zakres tajemnicy telekomunikacyjnej
Pojęciem "tajemnica telekomunikacyjna" (tajemnica komunikowania się w sieciach telekomunikacyjnych), zgodnie z przepisem art. 159 ust. 1 pr. telekom., objęte zostały:
dane dotyczące użytkownika;
treść indywidualnych komunikatów;
dane transmisyjne, które oznaczają dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych;
dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku;
dane o próbach uzyskania połączenia między określonymi zakończeniami sieci telekomunikacyjnej.
Powyższe wyliczenie wskazuje na bardzo szeroki zakres tajemnicy telekomunikacyjnej, w ramach którego mieści się nie tylko treść przekazu ("treść indywidualnych komunikatów"), ale także szereg danych odnoszących się do faktu i okoliczności procesu komunikacji, mających w znacznej mierze także charakter danych osobowych z uwagi na to, że odnoszą się one do konkretnych osób fizycznych. Tajemnicą objęte zostały dane dotyczące użytkownika, a więc dane podmiotu, który korzysta z publicznie dostępnej usługi telekomunikacyjnej albo żąda świadczenia takiej usługi. Chodzi tu zarówno o dane abonentów (podmiotów, które zawarły na piśmie umowę o świadczenie usług telekomunikacyjnych), jak i o dane podmiotów niebędących jeszcze abonentami, zgromadzone w trakcie czynności zmierzających do zawarcia umowy, a nawet o dane dotyczące użytkowników końcowych nieubiegających się o status abonenta (np. korzystających z tzw. usług przedpłaconych). Tajemnica telekomunikacyjna rozciąga się także na dane dotyczące podmiotów innych niż osoby fizyczne, a więc informacje, które nie stanowią danych osobowych w rozumieniu ustawy o ochronie danych osobowych, stąd słuszny jest pogląd, iż ochrona wynikająca z przepisów prawa telekomunikacyjnego jest szersza, niż wynikająca z ustawy o ochronie danych osobowych . Zarówno dane transmisyjne, jak i dane o lokalizacji czy też dane o próbach uzyskania połączenia mogą stanowić dane osobowe, jeśli występują w kontekście pozwalającym odnieść je do konkretnej osoby fizycznej.
Ustawa wprowadza ogólny zakaz zapoznawania się, utrwalania, przechowywania, przekazywania albo innego wykorzystywania treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu. Od tego zakazu przewidziane zostały jednak następujące wyjątki, gdy: 1) będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania; 2) nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą; 3) dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej; 4) będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi. Wskazany powyżej zakaz nie dotyczy także komunikatów i danych ze swojej istoty jawnych, z przeznaczenia publicznych lub ujawnionych postanowieniem sądu, postanowieniem prokuratora lub na podstawie odrębnych przepisów.
Podmiot uczestniczący w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych oraz podmioty z nim współpracujące są obowiązane do zachowania tajemnicy telekomunikacyjnej. Na podmioty prowadzące działalność telekomunikacyjną przewidziano przy tym nałożenie obowiązku zachowania należytej staranności w zakresie uzasadnionym względami technicznymi i ekonomicznymi, przy zabezpieczaniu urządzeń telekomunikacyjnych, sieci telekomunikacyjnych oraz zbiorów danych przed ujawnieniem tajemnicy telekomunikacyjnej. Przepisy prawa telekomunikacyjnego nie wyłączają jednak w tym zakresie stosowania ustawy o ochronie danych osobowych. Na administratorze danych ciąży więc ogólny obowiązek zabezpieczenia danych zgodnie z przepisami rozdziału piątego ustawy (art. 36-39 u.o.d.o.) i rozporządzeń wykonawczych do ustawy. Na wspomniany ogólny obowiązek zabezpieczenia danych składa się szereg obowiązków o charakterze szczególnym, w tym m.in. obowiązek prowadzenia dokumentacji, wyznaczenia administratora bezpieczeństwa informacji, nadawania upoważnień do przetwarzania danych, prowadzenia ewidencji osób upoważnionych oraz zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone i komu są przekazywane. Niektóre z wskazanych tu obowiązków podlegają jednak pewnym ograniczeniom wynikającym z przepisów prawa telekomunikacyjnego.
13.Przetwarzanie danych osobowych
Treści lub dane objęte tajemnicą telekomunikacyjną mogą być przetwarzane (tj. zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane) tylko wówczas, gdy czynności te dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne tylko na podstawie przepisów ustawowych. Takie sformułowanie zawarte w art. 161 ust. 1 pr. telekom. oznacza, że podstawą, na jakiej opierać się może przetwarzanie danych osobowych w celach związanych ze świadczeniem usług telekomunikacyjnych, są wyłącznie przepisy prawa telekomunikacyjnego, natomiast przetwarzanie danych osobowych w innych celach może znaleźć oparcie także w przepisach innych ustaw, w tym także ustawy o ochronie danych osobowych.
W ustawie określony został zakres danych dotyczących użytkownika będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych. Chodzi tu o tzw. dane trwałe, gromadzone w związku z zawieraniem umowy o świadczenie usług telekomunikacyjnych. Zgodnie z art. 161 ust. 2 pr. telekom. zakresem tym zostały objęte następujące kategorie danych: 1) nazwisko i imiona; 2) imiona rodziców; 3) miejsce i data urodzenia; 4) adres miejsca zameldowania na pobyt stały; 5) numer ewidencyjny PESEL - w przypadku obywatela Rzeczypospolitej Polskiej; 6) nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który jest obywatelem państwa niebędącego członkiem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego - numer paszportu lub karty pobytu; 7) dane zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Podstawą uprawniającą do przetwarzania tego rodzaju danych jest przywołany tu przepis prawa telekomunikacyjnego; w tym zakresie nie jest potrzebna zgoda osoby, której te dane dotyczą. Oprócz wskazanych powyżej danych dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer identyfikacji podatkowej NIP, numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Określenie "w szczególności" oznacza, iż za zgodą użytkownika zakres ten może być poszerzony także o inne kategorie danych, przy czym powinny one mieć związek ze świadczoną usługą.
Dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych od udzielenia informacji innych, niż wskazane w art. 161 ust. 2 pr. telekom. Analizowana ustawa w art. 57 daje dostawcy usług prawo żądania od użytkownika końcowego dostarczenia dokumentów potwierdzających możliwość wykonania zobowiązania wobec dostawcy oraz uprawnienie do dokonywania oceny wiarygodności płatniczej użytkownika końcowego na podstawie danych będących w posiadaniu dostawcy usług lub udostępnionych przez biuro informacji gospodarczej w trybie określonym w ustawie z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych.
Gdy chodzi o czas przetwarzania danych, to przepisy prawa telekomunikacyjnego określiły generalną regułę, zgodnie z którą dane użytkowników końcowych (dane trwałe) mogą być przetwarzane w okresie obowiązywania umowy, a po jej zakończeniu w okresie dochodzenia roszczeń lub wykonywania innych zadań przewidzianych w ustawie lub przepisach odrębnych. Nieco inaczej ukształtowane zostały okresy przetwarzania innych danych.
Prawo telekomunikacyjne zawiera szczególne przepisy odnoszące się do przetwarzania danych transmisyjnych oraz danych o lokalizacji. Dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany do poinformowania abonenta, z którym zawiera umowę o świadczenie usług telekomunikacyjnych, a także pozostałych użytkowników końcowych, o zakresie i celu przetwarzania danych transmisyjnych oraz innych danych ich dotyczących, a także o możliwościach wpływu na zakres tego przetwarzania. Przetwarzanie danych transmisyjnych, niezbędnych dla celów naliczania opłat abonenta i opłat z tytułu rozliczeń operatorskich, jest dozwolone po uprzednim poinformowaniu abonenta lub użytkownika końcowego o rodzaju danych transmisyjnych, które będą przetwarzane przez dostawcę publicznie dostępnych usług telekomunikacyjnych, oraz o okresie tego przetwarzania. Do przetwarzania danych transmisyjnych uprawnione są podmioty działające z upoważnienia operatorów publicznych sieci telekomunikacyjnych i dostawców publicznie dostępnych usług telekomunikacyjnych, zajmujące się naliczaniem opłat, zarządzaniem ruchem w sieciach telekomunikacyjnych, obsługą klienta, systemem wykrywania nadużyć finansowych, marketingiem usług telekomunikacyjnych lub świadczeniem usług o wartości wzbogaconej. Podmioty te mogą przetwarzać dane transmisyjne wyłącznie dla celów niezbędnych przy wykonywaniu tych działań.
Dalej idące wymogi ustawa przewiduje w odniesieniu do przetwarzania danych o lokalizacji (tzn. danych lokalizacyjnych, które nie są niezbędne do transmisji komunikatu lub wystawienia rachunku). Dane te mogą być przetwarzane wyłącznie dla celów niezbędnych do świadczenia usług o wartości wzbogaconej. W celu wykorzystania takich danych dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany uzyskać zgodę abonenta lub użytkownika końcowego albo dokonać anonimizacji tych danych, przy czym zgoda może być wycofana okresowo lub w związku z konkretnym połączeniem. Zgoda, w świetle art. 174 pr. telekom., nie może być domniemana ani dorozumiana, może być wyrażona drogą elektroniczną a także może być wycofana w każdym czasie. Ponadto dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany poinformować abonenta lub użytkownika końcowego przed uzyskaniem jego zgody o rodzaju danych o lokalizacji, które będą przetwarzane, o celach i okresie ich przetwarzania oraz o tym, czy dane zostaną przekazane innemu podmiotowi dla celów świadczenia usługi tworzącej wartość wzbogaconą. Do przetwarzania danych o lokalizacji uprawnione są podmioty działające z upoważnienia operatora publicznej sieci telekomunikacyjnej, podmioty działające z upoważnienia dostawcy publicznie dostępnych usług telekomunikacyjnych oraz podmioty świadczące usługę o wartości wzbogaconej. Dane o lokalizacji udostępnia się także na żądanie uprawnionych podmiotów właściwych w sprawach obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie i na warunkach określonych w przepisach odrębnych.
Dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany do rejestracji danych o wykonanych usługach telekomunikacyjnych, w zakresie umożliwiającym ustalenie należności za wykonanie tych usług oraz rozpatrzenie reklamacji (dane dla celów rozliczeniowych). Dane te mają być przechowywane co najmniej przez okres 12 miesięcy, a w przypadku wniesienia reklamacji - przez okres niezbędny do rozstrzygnięcia sporu. W literaturze podkreśla się, że 12-miesięczny okres wskazany w art. 168 ust. 2 pr. telekom. to minimalny okres przechowywania informacji, który może być przedłużony, nie więcej jednak, niż do czasu przedawnienia roszczeń.
Gdy chodzi o przetwarzanie danych dla celów marketingu usług telekomunikacyjnych lub świadczenia usług o wartości wzbogaconej, ustawa nakłada na dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązek poinformowania abonenta lub użytkownika końcowego o rodzaju danych transmisyjnych, które będą przetwarzane, oraz o okresie tego przetwarzania, przy czym na tego rodzaju przetwarzanie danych ustawa wymaga zgody abonenta lub użytkownika końcowego. Uprzednia zgoda wymagana jest także w przypadku wykorzystywania automatycznych systemów wywołujących dla celów marketingu bezpośredniego.
Oprócz obowiązków wynikających z prawa telekomunikacyjnego a związanych z przetwarzaniem danych, przedsiębiorcy telekomunikacyjni powinni spełniać także wymogi, jakie nakłada na administratorów danych ustawa o ochronie danych osobowych. Chodzi tu przede wszystkim o obowiązki informacyjne, obowiązki w zakresie szczególnej staranności, obowiązki związane z zabezpieczeniem danych osobowych, powierzeniem przetwarzania takich danych, zgłoszeniem zbiorów danych do rejestracji, jak również dotyczące przekazywania danych do państwa trzeciego.
14.Spisy abonentów i informacja o numerach abonentów
W przepisach prawa telekomunikacyjnego uregulowano również kwestie udostępniania danych o abonentach. Regulacje dotyczące udostępniania spisów abonentów oraz świadczenia usług informacji o numerach telefonicznych abonentów stanowią przepisy szczególne i wyłączają w tym zakresie stosowanie art. 29 u.o.d.o. Przepis art. 66 pr. telekom. nakłada na dostawców powszechnie dostępnych usług telekomunikacyjnych w sieci stacjonarnej obowiązek udostępniania swoim abonentom aktualnego spisu swoich abonentów z obszaru strefy numeracyjnej, w której znajduje się zakończenie sieci abonenta, nie rzadziej niż raz na 2 lata, a także obowiązek świadczenia usługi informacji o numerach telefonicznych abonentów. W literaturze wskazuje się, że obowiązki te ograniczone są jedynie do abonentów, nie obejmują natomiast innych użytkowników (np. osób korzystających z tzw. usług uprzednio opłaconych pre-paid) a ponadto zwraca się uwagę, iż obowiązek wydawania spisów abonentów nałożony został jedynie na dostawców publicznie dostępnych usług telefonicznych w sieci stacjonarnej, natomiast nie ciąży na przedsiębiorcach telekomunikacyjnych świadczących usługi w sieci ruchomej. Nie oznacza to jednak, że ci przedsiębiorcy nie mogą publikować spisów swoich abonentów, nie mają jedynie takiego obowiązku. Prawo telekomunikacyjne reguluje także kwestie ogólnokrajowego spisu abonentów oraz ogólnokrajowej informacji o numerach telefonicznych, nakładając obowiązek świadczenia tych usług na przedsiębiorcę wyznaczonego (por. art. 103 pr. telekom.). W omawianej ustawie uregulowane zostały także zagadnienia odnoszące się do przekazywania danych pomiędzy przedsiębiorcami telekomunikacyjnymi w celu umożliwienia sporządzania spisów abonentów różnych dostawców usług oraz informacji o numerach tych abonentów (art. 67 pr. telekom.).
Gdy chodzi o zakres danych o abonentach będących osobami fizycznymi, prawo telekomunikacyjne określa kategorie danych osobowych, do których - co do zasady - ograniczone powinny być informacje o abonencie. Zgodnie z art. 169 ust. 1 pr. telekom. dane osobowe zawarte w publicznie dostępnym spisie abonentów, wydawanym w formie książkowej lub elektronicznej, a także udostępniane za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego powinny być ograniczone do:
numeru abonenta lub znaku identyfikującego abonenta;
nazwiska i imion abonenta;
nazwy miejscowości oraz ulicy, przy której znajduje się zakończenie sieci, udostępnione abonentowi - w przypadku stacjonarnej publicznej sieci telefonicznej albo miejsca zameldowania abonenta na pobyt stały - w przypadku ruchomej publicznej sieci telefonicznej.
Abonenci, przed umieszczeniem ich danych w spisie, są informowani nieodpłatnie o celu spisu lub telefonicznej informacji o numerach, w których ich dane osobowe mogą się znajdować, a także o możliwości wykorzystywania spisu, za pomocą funkcji wyszukiwania dostępnych w jego elektronicznej formie. Zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności. Także rozszerzenie zakresu danych wymaga zgody abonenta. Obecny stan prawny w tym zakresie różni się w sposób istotny od regulacji przewidzianej w prawie telekomunikacyjnym z roku 2000. Nowe prawo telekomunikacyjne nie przewiduje już zamieszczania danych w spisie abonentów niejako automatycznie z możliwością zastrzeżenia danych (tzw. zastrzeżenia numeru) a uzależnia zamieszczenie danych w spisie od uprzedniej zgody, która może być w każdym czasie odwołana.
Wymóg zgody na udostępnianie danych odnosi się jedynie do osób fizycznych, natomiast udostępnianie w spisie lub za pośrednictwem służb informacyjnych danych identyfikujących abonentów innych niż osoby fizyczne nie wymaga zgodny, nie może jednak naruszać słusznych interesów tych podmiotów. W praktyce problemy pojawiają się, gdy chodzi o osoby fizyczne będące przedsiębiorcami; powstaje pytanie, czy osoby te powinny być pytane o zgodę, czy też dane na ich temat traktowane być powinny jako dane przedsiębiorcy, a zatem zgoda nie byłaby tu potrzebna. Wykładnia językowa przemawia za pierwszą z wskazanych tu interpretacji, natomiast wykładnia celowościowa zdaje się świadczyć na korzyść drugiej.
Wątpliwości budzi również, czy zgoda obejmuje wyłącznie zamieszczenie danych w spisie, czy też odnosi się także do udostępniania tych danych w ramach usługi informacji o numerach telefonicznych. W doktrynie zdania na ten temat są podzielone: P. Litwiński i P. Barta uznają, iż "obowiązek legitymowania się zgodą abonenta nie dotyczy ujawniania jego danych w ramach usługi biura numerów" , natomiast S. Piątek prezentuje stanowisko odmienne, zgodnie z którym wprawdzie przepis art. 169 ust. 3 pr. telekom. "mówi wyraźnie tylko o zgodzie na zamieszczenie danych w spisie danych , ale przepis ten odnosi się również do umieszczania danych abonenta w bazie danych, którą przedsiębiorca posługuje się przy wykonywaniu informacji o numerach" . Wydaje nam się, iż za opowiedzeniem się na rzecz drugiej z wskazanych powyżej interpretacji przemawiają negatywne skutki, do których prowadziłoby zaaprobowanie pierwszej (ścisłej wykładni literalnej), tzn. faktyczne pozbawienie abonenta możliwości decydowania o tym, czy jego numer telefonu będzie udostępniany.
Kolejną kontrowersyjną kwestią z tego zakresu jest zakres danych udostępnianych "za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego". Problem sprowadza się do odpowiedzi na pytanie, czy w ramach tzw. usługi biura numerów mogą być udostępniane oprócz numeru telefonu także inne dane wskazane w art. 169 pr. telekom. Chodzi więc o tzw. wyszukiwanie zwrotne, gdy na podstawie numeru telefonu ustala się dane abonenta. Z uwagi na istotę usługi informacji o numerach telefonicznych należy opowiedzieć się przeciwko takiej możliwości, choć prima facie przepis art. 169 pr. telekom. zdawałby się dopuszczać taką możliwość. Omawiana usługa, określona bardziej precyzyjnie w art. 66 ust. 2 pr. telekom. jako "informacja o numerach telefonicznych", ma pozwolić jedynie na ustalenie numeru telefonu abonenta, nie służy natomiast ustalaniu innych danych.
Przedsiębiorca telekomunikacyjny ma obowiązek udostępnić, na żądanie służb ustawowo powołanych do obsługi wywołań kierowanych na numery alarmowe, dane zawarte w spisie, poszerzone o będące w jego posiadaniu dane lokalizacyjne abonenta wywołującego połączenie z numerem alarmowym, umożliwiające niezwłoczne podjęcie interwencji.
Szczególne obowiązki ciążą również na przedsiębiorcach telekomunikacyjnych w zakresie zabezpieczenia danych. Przedsiębiorca telekomunikacyjny jest obowiązany zabezpieczyć spisy wydawane w formie elektronicznej w sposób uniemożliwiający wykorzystanie zawartych w nich danych niezgodnie z przeznaczeniem, a także informować abonenta o przekazaniu jego danych innym przedsiębiorcom, w celu publikacji spisu lub świadczenia usługi informacji o numerach telefonicznych.
Przedsiębiorca telekomunikacyjny jest uprawniony do udzielania informacji o numerach abonentów lub powierzenia tej czynności innemu podmiotowi z zachowaniem wszystkich warunków i ograniczeń przewidzianych w przepisach prawa telekomunikacyjnego. W tym drugim przypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych, a więc kwestii uregulowanych w przepisie art. 31 u.o.d.o.
15.Uwidacznianie numerów. Identyfikacja abonenta wywołującego i wywoływanego
Szczegółowe rozwiązania zawarte w prawie telekomunikacyjnym odnoszą się także do identyfikacji uczestników procesu komunikacji (art. 171 pr. telekom.). Operator publicznej sieci telefonicznej powinien zapewnić użytkownikom końcowym możliwość prezentacji identyfikacji zakończenia sieci, z którego inicjowane jest połączenie, przed dokonaniem tego połączenia. Dostawca usług świadczonych w publicznej sieci telefonicznej umożliwiającej prezentację identyfikacji linii wywołującej jest obowiązany zapewnić, za pomocą prostych środków: użytkownikowi końcowemu wywołującemu - możliwość wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika końcowego wywoływanego podczas wywołania i połączenia; a abonentowi wywołującemu - ponadto w sposób trwały u operatora. Abonentowi wywoływanemu powinna być zapewniona możliwość eliminacji dla połączeń przychodzących prezentacji identyfikacji linii wywołującej, o ile będzie to technicznie możliwe, a jeżeli taka prezentacja jest dostępna przed rozpoczęciem połączenia przychodzącego, także możliwość blokady połączeń przychodzących od abonenta lub użytkownika końcowego stosującego eliminację prezentacji identyfikacji linii wywołującej.
Dostawca usług świadczonych w publicznej sieci telefonicznej zapewniającej prezentację identyfikacji zakończenia sieci, do której zostało przekierowane połączenie (linii wywoływanej), jest obowiązany zapewnić abonentowi wywoływanemu możliwość eliminacji, za pomocą prostych środków, prezentacji identyfikacji linii wywoływanej u użytkownika końcowego wywołującego. Chodzi o to, aby abonent mógł nie ujawniać informacji o tym, że przekierował połączenie na inny numer. Dostawca usług świadczonych w publicznej sieci telefonicznej zapewniającej automatyczne przekazywanie wywołań jest obowiązany zapewnić abonentowi możliwość zablokowania, za pomocą prostych środków, automatycznego przekazywania przez osobę trzecią wywołań do urządzenia końcowego tego abonenta. To uprawnienie służy ochronie abonentów przed uciążliwościami, na jakie mogliby być oni narażeni wskutek przekierowania połączeń na ich numery, dokonanych przez innych użytkowników.
Dostawca usług świadczonych w publicznej sieci telefonicznej jest obowiązany do poinformowania abonentów, że wykorzystywana przez niego sieć zapewnia prezentację identyfikacji linii wywołującej lub wywoływanej, a także o możliwościach zablokowania prezentacji. Z tytułu korzystania przez abonenta z możliwości eliminacji lub blokowania nie pobiera się opłat.
Prawo telekomunikacyjne przewiduje jednak wyjątkowe sytuacje, w których eliminacja prezentacji identyfikacji linii wywołującej może być anulowana:
na żądanie służb ustawowo powołanych do niesienia pomocy, a także uprawnionych podmiotów właściwych w sprawach obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, w zakresie i na warunkach określonych w odrębnych przepisach;
przez dostawcę usług zapewniającego przyłączenie do publicznej sieci telefonicznej lub operatora, do którego sieci został przyłączony abonent będący stroną umowy z dostawcą usług zapewniającym przyłączenie do publicznej sieci telefonicznej, na wniosek abonenta, jeżeli wnioskujący uprawdopodobni, że do jego urządzenia końcowego są kierowane połączenia uciążliwe lub zawierające groźby, w celu identyfikacji numerów użytkowników końcowych wywołujących tego abonenta.
Operatorzy publicznej sieci telefonicznej są obowiązani do zapewnienia służbom ustawowo powołanym do niesienia pomocy dostępu do identyfikacji linii wywołującej oraz danych dotyczących lokalizacji, bez uprzedniej zgody zainteresowanych abonentów lub użytkowników końcowych, jeżeli jest to konieczne do umożliwienia tym służbom wykonywania ich zadań w możliwie najbardziej efektywny sposób. Dane identyfikujące użytkowników wywołujących, w przypadku anulowania eliminacji prezentacji identyfikacji linii wywołującej, są rejestrowane przez operatora na żądanie właściwych służb lub abonenta. Takie dane pozostają w dyspozycji operatora, który udostępnia je podmiotom, wykonującym zadania na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w zakresie i na warunkach określonych w odrębnych przepisach.
Użytkownik końcowy ponoszący koszty połączeń przychodzących nie może otrzymywać danych umożliwiających pełną identyfikację numeru wywołującego.
Prezes UKE na uzasadniony wniosek operatora może, w drodze decyzji, ustalić okres przejściowy na wprowadzenie usługi blokady połączeń przychodzących od abonenta lub użytkownika, stosującego eliminację prezentacji identyfikacji linii wywołującej.
16.Retencja danych
Jak już wyżej wspomnieliśmy, problem "zatrzymywania danych o ruchu w sieci" na potrzeby wykrywania i zwalczania przestępstw wzbudza wiele kontrowersji. Problematyki tej nie pomija również prawo telekomunikacyjne z roku 2004, przy czym przepisy odnoszące się do tej kwestii były przedmiotem nowelizacji ustawy. Zgodnie z obecnym stanem prawnym, operator publicznej sieci telekomunikacyjnej lub dostawca publicznie dostępnych usług telekomunikacyjnych przetwarzający dane transmisyjne dotyczące abonentów i użytkowników końcowych jest obowiązany, z uwagi na realizację przez uprawnione organy zadań i obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, przechowywać te dane przez okres 2 lat. Po upływie tego okresu dane transmisyjne są usuwane lub anonimizowane przez operatora publicznej sieci telekomunikacyjnej lub dostawcę publicznie dostępnych usług telekomunikacyjnych, którzy je przechowują. Operator publicznej sieci telekomunikacyjnej lub dostawca publicznie dostępnych usług telekomunikacyjnych przechowujący dane transmisyjne jest obowiązany dołożyć szczególnej staranności w celu ochrony bezpieczeństwa i poufności tych danych oraz interesów osób, których dane dotyczą. Wskazane powyżej rozwiązanie, w zakresie odnoszącym się do maksymalnego czasu przechowywania danych, pozostaje w zgodzie z dyrektywą 2006/24/WE w sprawie retencji danych.
VIII.Odpowiedzialność cywilna z tytułu bezprawnego przetwarzania danych osobowych
1.
Obowiązująca ustawa o ochronie danych osobowych nie zawiera żadnych przepisów dotyczących odpowiedzialności cywilnej z tytułu naruszenia praw czy zasad postępowania przez nią przewidzianych. Ochrona w tej mierze skoncentrowana została na szczególnej odpowiedzialności karnej (art. 49 i n.) .
Na gruncie prawa polskiego nie wprowadzono rozwiązań takich, jakie są w Niemczech, w myśl których bezprawne (tj. dokonywane poza warunkami ustalonymi ustawą) przetwarzanie danych osobowych (zbieranie, wykorzystywanie, udostępnianie itd.), o ile doprowadziło do powstania szkody po stronie osoby, której dane dotyczą, stanowi podstawę odpowiedzialności odszkodowawczej niezależnej od winy. Odpowiedzialność jest tu oparta na zasadzie ryzyka. Zainteresowany udowadnia jedynie bezprawność działania oraz fakt powstania szkody. Takie podejście jest refleksem uznania wysokiej społecznej szkodliwości i niebezpieczeństw bezprawnego przetwarzania danych, równych tym, z jakimi mamy do czynienia przy prowadzeniu samochodu czy pociągu . Rozwiązanie to rozciąga się tylko na automatyczne przetwarzanie danych. Roszczenie odszkodowawcze może dotyczyć także szkód niematerialnych, jeżeli naruszenie dóbr osobistych zainteresowanego było ciężkie. Górna granica odpowiedzialności odszkodowawczej niezależnej od zawinienia ustalona została na 130 000 euro. Wyrównania szkody przewyższającej tę kwotę można dochodzić na zasadach ogólnych.
Podobne reguły dotyczą w niemieckiej ustawie także odszkodowania od instytucji prywatnych. W tych przypadkach poszkodowany nie musi udowadniać, iż szkoda jest następstwem okoliczności, za które odpowiada pozwany (administrator danych). To tę jednostkę (administratora) obciąża ciężar dowodu przeciwnego.
Gdy do gromadzenia danych w bazie uprawnionych jest kilka jednostek, a powstaje wątpliwość, która z nich jest odpowiedzialna, przyjmuje się, że wszystkie odpowiadają solidarnie. Ma to uwolnić poszkodowanego od obowiązku prowadzenia uciążliwego postępowania dowodowego.
Pominięcie w polskiej ustawie problematyki cywilnoprawnej ochrony nie oznacza bynajmniej, aby wobec naruszenia postanowień tej ustawy tego rodzaju ochrona nie mogła wejść w rachubę. Uwzględnić tu należy zarówno system cywilnoprawnej ochrony dóbr osobistych, jak i odpowiedzialność z tytułu czynów niedozwolonych.
Z wcześniejszych wywodów wynika wyraźnie, że z naruszeniem postanowień komentowanej ustawy może równolegle stanowić naruszenie objętych ochroną dóbr osobistych (zwłaszcza prywatności). Należy wyraźnie wskazać, że chodzi tu o ochronę, której przesłanki są w całości i wyłącznie określane na podstawie przepisów kodeksu cywilnego. Do naruszenia dobra osobistego prowadzi z reguły przetwarzanie danych wrażliwych (por. art. 27), ale niejednokrotnie także innych danych osobowych, które zaliczyć można do kategorii informacji związanych ze sferą życia prywatnego (np. wiadomości dotyczących życia rodzinnego i towarzyskiego). Nie budzi poza tym wątpliwości, że przetwarzanie danych nieprawdziwych (w tym nieaktualnych), a zwłaszcza ich udostępnienie lub inne ujawnianie, w wielu przypadkach może również prowadzić do naruszenia dóbr osobistych.
W naszym przekonaniu, któremu daliśmy już wyraz wcześniej , można na gruncie prawa polskiego bronić poglądu, że w wielu przypadkach przetwarzanie informacji (także tych uznawanych za "neutralne") o określonej osobie, w szczególności gdy nie jest zaangażowana w życie publiczne, stanowi wkroczenie w chronioną sferę jej dóbr osobistych. Centralnym zagadnieniem staje się wówczas kwestia przypisania działaniom naruszyciela (z reguły - administratora danych) cech bezprawności. Przypomnijmy w tym miejscu, że kodeks cywilny w tej materii przyjmuje "domiemanie bezprawności", wyrażające się tym, iż to nie powód wykazuje jej istnienie, lecz pozwany musi udowodnić, że zachodzą przesłanki uchylające znamię bezprawności. W omawianym zakresie przesłankami takimi będzie najczęściej zgoda naruszonego lub działanie w ramach porządku prawnego . Tak więc administrator danych będzie mógł się uchylić od odpowiedzialności za naruszenie dóbr osobistych, jeśli wykaże, iż prowadzone przez niego przetwarzanie danych było w pełni zgodne z postanowieniami komentowanej ustawy.
Można by nawet posunąć się dalej i rekonstruować na gruncie art. 23 k.c. generalne prawa osobiste do decydowania o przetwarzaniu danych osobowych, wykazując że tego rodzaju działanie z reguły, według kryteriów obiektywnych (a więc opartych na poglądach przyjętych i akceptowanych aktualnie w społeczeństwie), prowadzi do zakłócenia stanu spokoju psychicznego człowieka . Świadomość bowiem, że bez wiedzy zainteresowanego są zbierane, wzajemnie kojarzone, a następnie wykorzystywane różne dotyczące go informacje (dzięki czemu możliwe staje się wysuwanie wniosków co do jego preferencji osobistych, zwyczajów, zainteresowań, a także podejmowanie w jego sprawach decyzji) z reguły nie jest dla psychiki obojętna i wywoływać może przekonanie o nieograniczonej, niewidocznej ciągłej swoistej obserwacji. Pogląd ten nie znajduje oparcia w polskim orzecznictwie i jest dyskusyjny; jego obronie sprzyja okoliczność, iż przedmiot ochrony na gruncie art. 23 k.c. został przedstawiony tylko generalnie, a wyliczenie poszczególnych dóbr osobistych ma charakter przykładowy.
Wobec bezprawnego naruszenia dóbr osobistych naruszonemu przysługują roszczenia określone w art. 24 k.c. (o zaniechanie działań naruszających oraz o dopełnienie czynności potrzebnych do usunięcia skutków naruszenia). Nadto, stosownie do art. 448 k.c., sąd może przyznać osobie, której dobro zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jej żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez nią cel społeczny.
W naszym przekonaniu nie można jednak akceptować wykładni, że zawsze każde sprzeczne z ustawą o ochronie danych osobowych przetwarzanie danych stanowi naruszenie dóbr osobistych z art. 23 i 24 k.c. W orzeczeniu opisanym w Rzeczpospolitej z dnia 15 listopada 2000 r. Sąd Okręgowy w Łodzi uznał, iż bank X dopuścił się naruszenia dóbr osobistych poprzez przysłanie życzeń urodzinowych niedoszłym klientom, mimo że uprzednio wyraźnie żądali oni zaprzestania przetwarzania ich danych osobowych. Orzekając zadośćuczynienie w wysokości 20 tys. zł sąd uznał, iż naruszonym dobrem jest prawo do prywatności. Wydaje się, że w niniejszej sprawie trudno przyjąć nie tylko zasadność przyznania zadośćuczynienia, ale także stwierdzenia, że doszło do naruszenia dóbr osobistych.
Jeżeli w rezultacie przetwarzania danych osobowych z naruszeniem przepisów komentowanej ustawy osoba, której dane dotyczą, poniesie szkodę, to istnieje możliwość ochrony jej interesów majątkowych na podstawie przepisów kodeksu cywilnego o czynach niedozwolonych (art. 415 i n. k.c.). Pokrzywdzony dochodząc odszkodowania powinien wykazać związek przyczynowy pomiędzy naruszeniem postanowień ustawy a powstaniem szkody oraz winę naruszającego (najczęściej - administratora danych osobowych). Nadto istnieje możliwość wystąpienia z roszczeniami zapobiegawczymi, o których stanowi art. 439 k.c.
1.
Deklaracja ustawodawcy zawarta w art. 1 traktowana jest niekiedy jako refleks ogólnej zasady autonomii informacyjnej człowieka. Znajduje w nim swój wyraz idea powszechności ochrony danych osobowych. Prawo do takiej ochrony przysługuje bowiem każdemu.
Nasuwa się spostrzeżenie, że tak ujęte prawo stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją (art. 47), w myśl którego "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". Spostrzeżenie to oparte jest na założeniu, iż dane osobowe są niejako częścią życia prywatnego lub rodzinnego, względnie że posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję "decydowania o swoim życiu osobistym".
Podobny nieco punkt widzenia zdaje się prezentować Trybunał Konstytucyjnyw jednym ze swych orzeczeń (K. 21/96, 225), aczkolwiek trzeba uwzględnić, że chodzi tu o orzeczenie wydane jeszcze przed uchwaleniem ustawy...
Pełna treść dostępna po zalogowaniu do LEX